DEFINITIE VAN VIRUS
Ook wel bekend als: Trojan.AndroidOS.Koler.a.
Type virus: ransomware (mobiel)
Wat is het?
Koler is een verborgen deel van de kwaadaardige campagne die Koler politieransomware voor mobiele Android-apparaten de wereld inbracht in april 2014. Dit gedeelte bevat browser-ransomware en een exploit-kit.
De personen achter de aanvallen hadden een ongebruikelijke methode om de systemen van slachtoffers te scannen en aangepaste ransomware te creëren op basis van de locatie en het type apparaat (mobiel of pc). De omleidingsinfrastructuur is de volgende stap, nadat een slachtoffer minstens een van de 48 schadelijke pornowebsites bezoekt die door Kolers ontwikkelaars worden gebruikt. Het gebruik van een pornografisch netwerk voor deze ransomware is geen toeval: slachtoffers voelen zich sneller schuldig over het bezoeken van dergelijke sites en betalen de vermeende boete van de 'autoriteiten'.
Sinds 23 juli is het mobiele deel van de campagne verstoord doordat de beheerserver verwijderingsopdrachten begon te sturen naar de slachtoffers, zodat de schadelijke applicatie uiteindelijk werd verwijderd. De rest van de schadelijke componenten voor pc-gebruikers, waaronder de exploit-kit, is echter nog steeds actief.
Virusdetails
48 pornowebsites sturen gebruikers door naar de centrale hub die gebruikmaakt van het Keitaro Traffic Distribution System (TDS) om gebruikers opnieuw door te verwijzen. Afhankelijk van een aantal voorwaarden kan deze tweede omleiding leiden in een van drie mogelijke scenario's resulteren:
- Installatie van de Koler-ransomware voor mobiele apparaten. Bij mobiele apparaten stuurt de website de gebruiker automatisch door naar de schadelijke applicatie. Maar de gebruiker moet het downloaden en installeren van de applicatie (animalporn.apk), die in feite de Koler-ransomware is, nog wel bevestigen. De ransomware blokkeert het scherm van een geïnfecteerd apparaat en vraagt losgeld variërend van $ 100 tot $ 300 om het apparaat te ontgrendelen. De malware geeft een gelokaliseerd bericht weer van de 'politie', zodat het realistischer overkomt.
- Omleiding naar een van de ransomwarewebsites. Een speciale controller kijkt of (i) de gebruikersagent uit één van de 30 getroffen landen komt, (ii) de gebruiker geen Android-gebruiker is en (iii) het verzoek geen Internet Explorer-gebruikersagent bevat. Als er aan deze drie criteria wordt voldaan, ziet de gebruiker een blokkeringsscherm dat identiek is aan dat voor mobiele apparaten. Er is in dit geval geen infectie, je ziet gewoon een pop-up met een blokkering. Toch kan de gebruiker de blokkering gemakkelijk voorkomen met Alt+F4.
- Omleiding naar een website met de Angler Exploit Kit. Gebruikers met Internet Explorer worden door de omleidingsinfrastructuur van deze campagne doorgestuurd naar sites die de Angler Exploit Kit hosten; deze kit heeft exploits voor Silverlight, Adobe Flash en Java. Tijdens de analyse van Kaspersky Lab was de exploit-code volledig functioneel maar niet actief, maar dit kan veranderen in de nabije toekomst.
Aanbevelingen voor je veiligheid
- Onthoud dat je nooit losgeldberichten van de politie krijgt, dus betaal nooit;
- Installeer geen applicaties die je tegenkomt tijdens het browsen;
- Bezoek geen websites die je niet vertrouwt;
- Gebruik een betrouwbare anti-virusoplossing.