Ransomware de dispositivos móveis Koler ‘police’

DEFINIÇÃO DO VÍRUS

Também chamado de: Trojan.AndroidOS.Koler.a.
Tipo de vírus: Ransomware (para dispositivos móveis)

O que é?

O Koler é uma parte oculta da campanha maliciosa que apresentou oransomware Koler 'police' para dispositivos Android em abril de 2014. Essa parte inclui alguns programas ransomware baseados em navegadores e um kit de exploits.

Os agentes dos ataques costumam empregar um esquema incomum para ler os sistemas das vítimas e usar um ransomware personalizado com base no local e no tipo de dispositivo: móvel ou PC. A etapa seguinte consiste na infraestrutura de redirecionamento, depois que uma vítima acessa um dos pelo menos 48 sites pornográficos maliciosos usados pelos operadores do Koler. O uso de uma rede de pornografia nesse tipo de ransomware não é coincidência: as vítimas costumam sentir culpa quando acessam esse tipo de conteúdo, por isso pagam a suposta multa das "autoridades".

Desde 23 de julho, o componente móvel da campanha foi interrompido, pois o servidor de comando e controle começou a enviar comandos de "Desinstalação" para as vítimas, o que excluía efetivamente o aplicativo malicioso de dispositivos móveis. No entanto, os outros componentes maliciosos voltados a usuários de PCs, incluindo o kit de exploits, ainda está ativo.

Detalhes do vírus

48 sites pornográficos redirecionam os usuários para uma central que usa o sistema de distribuição de tráfego (TDS) Keitaro para redirecionar novamente os usuários. Dependendo do número de condições, esse segundo redirecionamento pode gerar três cenários maliciosos diferentes:

- Instalação do ransomware para dispositivos móveis Koler. No caso de um dispositivo móvel, o site redireciona o usuário automaticamente para o aplicativo malicioso. Mas o usuário ainda precisa confirmar o download e a instalação do aplicativo, chamado animalporn.apk, que, na verdade, é o ransomware Koler. Ele bloqueia a tela do dispositivo infectado e solicita um resgate entre US$ 100 e US$ 300 para o desbloqueio. O malware exibe uma mensagem traduzida da "polícia", o que o torna mais realista.

- Redirecionamento para qualquer um dos sites de ransomware no navegador. Um controlador especial verifica se (i) o agente do usuário está em um dos 30 países afetados, (ii) o usuário não é um usuário de Android e (iii) a solicitação não contém o agente do usuário do Internet Explorer. Se as três respostas forem positivas, o usuário vê uma tela de bloqueio idêntica à usada nos dispositivos móveis. Nesse caso, não há infecção, apenas uma janela pop-up que exibe um modelo de bloqueio. Entretanto, o usuário é capaz de evitar o bloqueio facilmente com uma simples combinação das teclas Alt+F4.

- Redirecionamento para um site que contém o kit de exploits Angler. Se o usuário utiliza o Internet Explorer, a infraestrutura de redirecionamento empregada nessa campanha o enviará para sites que hospedam o kit de exploits Angler, que carrega exploits do Silverlight, Adobe Flash e Java. Durante a análise da Kaspersky Lab, o código da exploit era totalmente funcional, mas não enviou qualquer carga, o que pode mudar futuramente.

Recomendações para manter sua segurança

• Lembre-se: você nunca receberá mensagens oficiais de "resgate" da polícia, então jamais pague qualquer valor;
• Não instale aplicativos aleatórios que você encontra ao navegar pela Web;
• Não acesse sites em que você não confia;
• Use uma solução antivírus confiável.

Outros artigos e links relacionados ao ransomware para dispositivos móveis Koler 'police'

• Vírus CosmicDuke
• Cavalo de Troia direcionado a bancos Shylock (ataque "man-in-the-browser")
• Kaspersky Internet Security