DEFINIÇÃO DO VÍRUS
Também chamado de: Trojan.AndroidOS.Koler.a.
Tipo de vírus: Ransomware (para dispositivos móveis)
O que é?
O Koler é uma parte oculta da campanha maliciosa que apresentou oransomware Koler 'police' para dispositivos Android em abril de 2014. Essa parte inclui alguns programas ransomware baseados em navegadores e um kit de exploits.
Os agentes dos ataques costumam empregar um esquema incomum para ler os sistemas das vítimas e usar um ransomware personalizado com base no local e no tipo de dispositivo: móvel ou PC. A etapa seguinte consiste na infraestrutura de redirecionamento, depois que uma vítima acessa um dos pelo menos 48 sites pornográficos maliciosos usados pelos operadores do Koler. O uso de uma rede de pornografia nesse tipo de ransomware não é coincidência: as vítimas costumam sentir culpa quando acessam esse tipo de conteúdo, por isso pagam a suposta multa das "autoridades".
Desde 23 de julho, o componente móvel da campanha foi interrompido, pois o servidor de comando e controle começou a enviar comandos de "Desinstalação" para as vítimas, o que excluía efetivamente o aplicativo malicioso de dispositivos móveis. No entanto, os outros componentes maliciosos voltados a usuários de PCs, incluindo o kit de exploits, ainda está ativo.
Detalhes do vírus
48 sites pornográficos redirecionam os usuários para uma central que usa o sistema de distribuição de tráfego (TDS) Keitaro para redirecionar novamente os usuários. Dependendo do número de condições, esse segundo redirecionamento pode gerar três cenários maliciosos diferentes:
- Instalação do ransomware para dispositivos móveis Koler. No caso de um dispositivo móvel, o site redireciona o usuário automaticamente para o aplicativo malicioso. Mas o usuário ainda precisa confirmar o download e a instalação do aplicativo, chamado animalporn.apk, que, na verdade, é o ransomware Koler. Ele bloqueia a tela do dispositivo infectado e solicita um resgate entre US$ 100 e US$ 300 para o desbloqueio. O malware exibe uma mensagem traduzida da "polícia", o que o torna mais realista.
- Redirecionamento para qualquer um dos sites de ransomware no navegador. Um controlador especial verifica se (i) o agente do usuário está em um dos 30 países afetados, (ii) o usuário não é um usuário de Android e (iii) a solicitação não contém o agente do usuário do Internet Explorer. Se as três respostas forem positivas, o usuário vê uma tela de bloqueio idêntica à usada nos dispositivos móveis. Nesse caso, não há infecção, apenas uma janela pop-up que exibe um modelo de bloqueio. Entretanto, o usuário é capaz de evitar o bloqueio facilmente com uma simples combinação das teclas Alt+F4.
- Redirecionamento para um site que contém o kit de exploits Angler. Se o usuário utiliza o Internet Explorer, a infraestrutura de redirecionamento empregada nessa campanha o enviará para sites que hospedam o kit de exploits Angler, que carrega exploits do Silverlight, Adobe Flash e Java. Durante a análise da Kaspersky Lab, o código da exploit era totalmente funcional, mas não enviou qualquer carga, o que pode mudar futuramente.
Recomendações para manter sua segurança
- Lembre-se: você nunca receberá mensagens oficiais de "resgate" da polícia, então jamais pague qualquer valor;
- Não instale aplicativos aleatórios que você encontra ao navegar pela Web;
- Não acesse sites em que você não confia;
- Use uma solução antivírus confiável.
