DEFINIÇÃO SOBRE O VÍRUS
Também chamado de: Trojan.AndroidOS.Koler.a.
Tipo de vírus: Ransomware (em dispositivos móveis)
O que seria?
Koler é uma parte oculta da campanha maliciosa que introduziu o ransomware Koler 'police' em dispositivos Android em abril de 2014. Esta parte inclui alguns programas ransomware com base no navegador e um kit de exploit.
Quem está por trás dos ataques costuma empregar um esquema incomum para ler os sistemas das vítimas e aplicar ransomware personalizado, com base no local e no tipo de dispositivo: móvel ou PC. A infraestrutura de redirecionamento é a próxima etapa, depois que uma vítima acessa um dos, no mínimo, 48 sites pornográficos maliciosos usados por operadores do Koler. O uso de uma rede pornográfica para esse tipo de ransomware não é coincidência: as vítimas costumam sentir mais culpa quando acessam esse tipo de conteúdo, por isso pagam a suposta multa das "autoridades".
Desde 23 de julho, o componente móvel da campanha foi interrompido, pois o servidor de comando e controle começou a enviar comandos de "Desinstalação" para as vítimas, o que excluía efetivamente o aplicativo malicioso. No entanto, o restante dos componentes maliciosos de usuários de PC, incluindo o kit de exploits, ainda está ativo.
Detalhes sobre o vírus
48 sites pornográficos redirecionam usuários ao canal central que usa o Sistema de distribuição de tráfego (TDS) Keitaro para redirecionar novamente os usuários. Dependendo do número de condições, esse segundo redirecionamento pode gerar três cenários maliciosos diferentes:
- Instalação do ransomware Koler de dispositivos móveis. No caso de envolvimento do dispositivo móvel, o site automaticamente redireciona o usuário ao aplicativo malicioso. Mas o usuário ainda precisa confirmar o download e a instalação do aplicativo, chamado animalporn.apk, que, na verdade, é o ransomware Koler. Ele bloqueia a tela de um dispositivo infectado e solicita um resgate entre US$ 100 e US$ 300 para o desbloqueio. O malware exibe uma mensagem traduzida da "polícia", o que o torna mais realista.
- Redirecionamento para qualquer um dos sites de ransomware do navegador. Um controlador especial verifica se (i) o agente usuário é de um dos 30 países afetados, (ii) o usuário não é do Android e (iii) a solicitação não contém agente de usuário do Internet Explorer. Se as três respostas forem positivas, o usuário vê uma tela de bloqueio idêntica à usada nos dispositivos móveis. Não há infecção neste caso, apenas uma janela pop-up que exibe um modelo de bloqueio. Entretanto, o usuário é capaz de evitar facilmente o bloqueio com uma simples combinação das teclas alt+F4.
- Redirecionamento para um site que contém o Kit de exploits Angler. Se o usuário usar o Internet Explorer, a infraestrutura de redirecionamento usada nesta campanha o enviará para sites que hospedam o Kit de exploits Angler, que carrega exploits do Silverlight, Adobe Flash e Java. Durante a análise da Kaspersky Lab, o código do exploit funcionou completamente, mas não enviou qualquer carga, o que pode mudar futuramente.
Recomendações para manter a segurança
- Lembre-se: você nunca receberá mensagens oficiais de "resgate" da polícia, então jamais pague qualquer quantia;
- Não instale aplicativos que você encontra enquanto acessa um site;
- Não acesse sites que você não conheça;
- Use uma solução antivírus confiável.