ОПРЕДЕЛЕНИЕ ВИРУСА

Другое название: Trojan.AndroidOS.Koler.a.
Тип вируса: мобильный вымогатель

Что это такое?

Koler является скрытой частью вредоносной кампании, которая в апреле 2014 года явила миру мобильный 'полицейский' вымогатель Koler для Android-устройств. В эту часть входят несколько браузерных программ-вымогателей и набор эксплойтов.

Те, кто стоит за атаками, применяли необычную схему сканирования систем жертв и использовали индивидуальные программы-вымогатели в зависимости от местоположения и типа устройства - мобильного или ПК.

Перенаправляющая инфраструктура - это следующий шаг, после того как жертва посетит любой из как минимум 48 вредоносных порносайтов, используемых операторами Koler.

Неслучайно, что для распространения этого «полицейского» вымогателя используется сеть порносайтов: пользователи, посещающие подобные страницы, с большей вероятностью будут испытывать чувство вины за это и заплатят «штраф», якобы выставленный компетентными органами.

С 23 июля, 2014 мобильный компонент кампании был уничтожен, поскольку командный сервер начал рассылать мобильным жертвам команду «Удалить», эффективно удаляя вредоносное приложение.

Однако остальные вредоносные компоненты для пользователей ПК, включая набор эксплойтов, все еще активны.

Подробнее о вирусе

48 порносайтов перенаправляют пользователей в центральный хаб, который использует систему распределения трафика Keitaro TDS для дальнейшего перенаправления пользователей.

В зависимости от ряда условий, это второе перенаправление может привести к развитию трех различных вредоносных сценариев:

  • Установка мобильного вымогателя Koler. При посещении веб-сайт автоматически перенаправляет пользователя на вредоносное приложение.

    Кроме того, от пользователя требуется подтвердить загрузку и установку на устройстве приложения, которое называется animalporn.apk и на самом деле является вымогателем Koler. Оно блокирует экран зараженного устройства и требует выкуп от 100 до 300 долларов за разблокирование. Вредоносная программа выводит на экран устройства локализованное сообщение от «полиции».
  • Перенаправление на веб-сайт любого браузерного вымогателя. Специальный контроллер распознаёт следующие три условия: (1) пользовательский агент принадлежит любой из 30 пострадавших стран, (2) пользовательский агент не принадлежит Android-устройству, и (3) запрос не содержит пользовательского агента Internet Explorer.

    Если на все три вопроса получен ответ «ДА», то пользователю демонстрируется экран блокировки, идентичный тому, что показывается при заражении мобильных устройств. В этом случае заражения не происходит, лишь демонстрируется всплывающее окно с шаблоном блокирующей страницы. Избежать блокировки пользователь может легко с помощью простой комбинации alt + F4.
  • Перенаправление на веб-сайт, содержащий набор эксплойтов. Пользователи, использующие Internet Explorer, перенаправлялись на сайты, на которых размещался набор эксплойтов Angler, содержащий эксплойты для Silverlight, Adobe Flash и Java.

    На момент исследования специалистами «Лаборатории Касперского» использовался не весь функционал, и эксплойты не выполняли каких-либо вредоносных действий, но это может измениться в ближайшем будущем.

Рекомендации по безопасности

  • Помните, что вы никогда не получите официальные сообщения о выкупе от полиции, поэтому никогда не платите им;
  • Не устанавливайте приложения, которые вы находите во время просмотра страниц в Интернете;
  • Не заходите на сайты, которым вы не доверяете;
  • Используйте надежное антивирусное решение.

Другие статьи и ссылки по теме «Полицейский» мобильный вымогатель Koler»

Статьи и ссылки по теме:

Продукты: