Koler – ransomware na Androida już w Polsce

28 lipca, 2014

Kaspersky Lab wykrył ukrytą część szkodliwej kampanii, w ramach której w kwietniu 2014 r. pojawiło się „policyjne” mobilne oprogramowanie wyłudzające okup (tzw. ransomware) o nazwie Koler, przeznaczone dla urządzeń z systemem Android. Ataki były przeprowadzane na całym świecie, także na użytkowników z Polski.

Kampania obejmuje oparte na przeglądarce oprogramowanie wyłudzające okup oraz zestaw narzędzi do tworzenia exploitów (narzędzi pozwalających na wykorzystywanie luk w zabezpieczeniach systemów operacyjnych i aplikacji). Od 23 lipca mobilny komponent kampanii został zamknięty, ponieważ serwer kontroli zaczął wysyłać do ofiar wykorzystujących urządzenia mobilne polecenia ‘Uninstall’, skutecznie usuwające szkodliwą aplikację. Jednak pozostałe szkodliwe komponenty przeznaczone dla użytkowników komputerów PC – w tym zestaw do tworzenia exploitów – nadal są aktywne. Kaspersky Lab monitoruje to szkodliwe oprogramowanie, które po raz pierwszy zostało opisane przez badacza ds. bezpieczeństwa znanego pod pseudonimem Kaffeine.

Osoby stojące za atakami stosowały nietypową metodę w celu skanowania systemów ofiar i oferowania oprogramowania ransomware dostosowanego do lokalizacji i typu urządzenia – urządzenie mobilne czy PC. Kolejny krok stanowiła infrastruktura przekierowania, po tym jak ofiara odwiedziła jedną z co najmniej 48 szkodliwych stron pornograficznych wykorzystywanych przez operatorów Kolera. Wykorzystanie sieci pornograficznej dla tego oprogramowania ransomware nie jest przypadkowe: ofiary są bardziej skłonne czuć się winne z powodu przeglądania takich stron i zapłacić rzekomą karę nałożoną przez „władze”. 

Strony pornograficzne przekierowują użytkowników do węzła centralnego, który wykorzystuje Keitaro Traffic Distribution System (TDS) do powtórnego przekierowywania użytkowników. W zależności od kilku czynników, to drugie przekierowanie może prowadzić do trzech różnych scenariuszy:  

  • Zainstalowanie mobilnego oprogramowania ransomware o nazwie Koler. W przypadku gdy użytkownik wykorzystuje urządzenie mobilne, strona internetowa automatycznie przekierowuje go do szkodliwej aplikacji. Jednak użytkownik wciąż musi potwierdzić pobranie i instalację aplikacji – o nazwie animalporn.apk – która w rzeczywistości stanowi oprogramowanie ransomware o nazwie Koler. Szkodnik ten blokuje ekran zainfekowanego urządzenia i w zamian za odblokowanie go żąda okupu w wysokości 100 – 300 dolarów. Szkodnik wyświetla zlokalizowany komunikat „policyjny”, który czyni żądanie bardziej realistycznym.
  • Przekierowanie na dowolną ze stron internetowych ransomware. Specjalny kontroler sprawdza, czy (a) użytkownik znajduje się w jednym z 30 państw objętych kampanią (m.in. w Polsce), (b) użytkownik nie korzysta z urządzenia z Androidem i (c) użytkownik nie korzysta z Internet Explorera. Jeżeli wszystkie trzy warunki zostaną spełnione, użytkownik zobaczy ekran blokujący identyczny jak ten wykorzystywany w przypadku urządzeń mobilnych. W tym przypadku nie dochodzi do żadnej infekcji, pojawia się jedynie okienko wyskakujące pokazujące szablon blokujący. Użytkownik może jednak łatwo cofnąć blokadę, stosując prostą systemową kombinację klawiszy Alt+F4.    
  • Przekierowanie do strony internetowej zawierającej Angler Exploit Kit. Jeżeli użytkownik wykorzystuje przeglądarkę Internet Explorer, wykorzystywana w kampanii infrastruktura przekierowywania wysyła go na strony zawierające zestaw narzędzi Angler Exploit Kit, który posiada exploity dla komponentu Silverlight firmy Microsoft, Adobe Flash oraz Java. W czasie analizy przeprowadzonej przez Kaspersky Lab kod exploita był w pełni funkcjonalny, nie dostarczał jednak żadnej funkcji szkodliwej (co może się jednak zmienić w najbliższej przyszłości).

>Komentując nowe odkrycia dotyczące Kolera, Vicente Diaz, główny badacz ds. bezpieczeństwa w Kaspersky Lab, powiedział:

„Najbardziej interesująca jest wykorzystywana w tej kampanii sieć dystrybucji. Dziesiątki generowanych automatycznie stron internetowych przekierowują ruch do węzła centralnego przy pomocy systemu dystrybucji ruchu, gdzie użytkownicy zostają przekierowani po raz kolejny. Uważamy, że infrastruktura ta pokazuje, jak dobrze zorganizowana i niebezpieczna jest cała kampania. Dzięki pełnej automatyzacji osoby atakujące mogą szybko stworzyć podobną infrastrukturę, zmieniając szkodliwą funkcję lub biorąc na celownik innych użytkowników. Ponadto cyberprzestępcy wymyślili kilka sposobów zarobienia na tej kampanii”.

Liczby dotyczące ofiar infekcji mobilnej

Spośród prawie 200 000 odwiedzających mobilną domenę infekcji od początku kampanii, większość użytkowników znajduje się w Stanach Zjednoczonych (80% – 146 650), w dalszej kolejności w Wielkiej Brytanii (13 692), Australii (6 223), Kanadzie (5 573), Arabii Saudyjskiej (1 975) i Niemczech (1 278).         

Kaspersky Lab poinformował o swoich odkryciach zarówno Europol, jak i Interpol i współpracuje z organami ścigania w celu zbadania możliwości zamknięcia tej infrastruktury.

Wskazówki dla użytkowników – jak zachować bezpieczeństwo

  • Pamiętaj, że nie jest możliwe, aby policja wysyłała oficjalne wiadomości zawierające „żądanie okupu”, dlatego nigdy nie spełniaj takiego żądania.
  • Nie instaluj każdej aplikacji, jaką znajdziesz podczas surfowania po internecie.
  • Nie odwiedzaj niezaufanych stron internetowych.
  • Stosuj niezawodne rozwiązanie bezpieczeństwa – także na urządzeniach mobilnych.

Szczegółowy raport poświęcony trojanowi Koler jest dostępny w języku angielskim na stronie http://r.kaspersky.pl/koler

źródło: Kaspersky

 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]