A Kaspersky Lab descobriu uma parte oculta da campanha maliciosa Koler, um ransoware utilizando o nome da "policia" para dispositivos móveis Android, que foi detectada em abril de 2014. Esta parte inclui um ransomware baseado no navegador de PC, como um kit de exploit.
Desde 23 de julho o componente móvel desta campanha se encontra suspenso, já que o servidor de comando e controle começou a enviar o comando 'Desinstalar' para as vítimas donas dos dispositivos móveis afetados. Contudo, o resto dos componentes malicioso para os usuários de PC – incluindo o kit de exploit – seguem ativos. A Kaspersky Lab monitora o malware, que foi descrito pela primeira vez por um investigador de segurança chamado Kaffeine.
Os cibercriminosos por trás desses ataques empregaram um esquema incomum para fraudar os sistemas operacionais das vítimas e enviar mensagens de ransomware personalizadas dependendo da localização e tipo de dispositivo – móvel ou PC. A infraestrutura de redirecionamento ocorre uma vez que a vítima visita um dos 48 sites pornográficos maliciosos utilizados pelos operadores do Koler. O uso de uma rede pornográfica para este ransomware não é casual: as vítimas são mais propensas a se sentirem culpadas por navegar em tais sites e pagam a suposta multa para as "autoridades".
Esses sites pornográficos redirecionam os usuários para um centro que utiliza o Sistema de Distribuição de Tráfico Keitaro (TDS), após isso, redirecionam novamente os usuários. Com base em uma série de condições, este segundo redirecionamento pode conduzir para três diferentes cenários maliciosos:
– Instalação do ransomware móvel Koler. Em caso de uma conexão móvel, o website redireciona automaticamente o usuário para a aplicação maliciosa. Mas o usuário ainda tem que confirmar o download e a instalação da aplicação chamada animalporn.apk – que na realidade se trata do ransomware Koler. Ao receber a informação, o malware bloqueia a tela do dispositivo infectado e pede um resgate de US$100 a US$300 para desbloquear. O malware mostra uma mensagem da "policia" local, por isso é mais realista.
– Redirecionamento a qualquer um dos websites de ransomware do navegador. Um controlador especial verifica se (1) o agente do usuário é de um dos 30 países afetados, (2) que o usuário não seja um usuário Android, e que (3) a solicitação não contenha um agente de usuário Internet Explorer. Em caso de receber uma resposta afirmativa para as três perguntas, o usuário vê uma tela de bloqueio idêntica a utilizada para dispositivos móveis. Neste caso, não há infecção, somente uma janela emergente que mostra um molde de bloqueio. Contudo, o usuário pode facilmente evitar o bloqueio com uma simples combinação de alt+F4.
– Redirecionamento a um website que contém o kit de exploit Angler. Se o usuário utiliza Internet Explorer, então a infraestrutura de redirecionamento que se utiliza nesta campanha envia o usuário para sites que contêm o kit de exploit Angler, o qual tem exploits para Silverlight, Adobe Flash e Java. Durante as análises da Kaspersky Lab, o código de exploração foi completamente funcional, contudo, não enviou nenhuma carga útil, mas isso pode mudar no futuro.
Ao comentar as últimas descobertas do Koler, Vicente Díaz, principal investigador de Segurança da Kaspersky Lab, disse que "o que é mais interessante é a rede de distribuição usada na campanha. Dezenas de websites gerados automaticamente redirecionam o tráfego para um hub de um sistema de distribuição de tráfego onde os usuários são redirecionados novamente. Acreditamos que esta infraestrutura demonstra o quão bem organizada e perigosa é essa campanha. Os criminosos podem criar rapidamente infraestruturas similares graças a automatização total, mudando a carga útil ou se dirigindo a usuários diferentes. Os criminosos também inventaram uma série de formas para rentabilizar a entrada de sua campanha em um verdadeiro esquema de multidispositivos".
Entre os quase 200 mil visitantes do domínio de infecção móvel desde o inicio da campanha, a maioria se encontram nos Estados Unidos (80% – 146,650), seguidos pelo Reino Unido (13,692), Austrália (6,223), Canadá (5,573), Arábia Saudita (1,975) e Alemanha (1,278). Na América Latina, Brasil, Equador e México são os países mais afetados por este malware.
A Kaspersky Lab compartilhou suas descobertas com a Europol e a Interpol e atualmente colabora com organismos encarregados de fazer cumprir a lei para explorar a possibilidade de fechar a infraestrutura.
Conselhos para os usuários se manterem seguros:
– Lembre que nunca receberá mensagens de "resgate" oficiais da policia, portanto nunca os pague.
– Não instale nenhuma aplicação que encontre enquanto navega.
– Não visite websites que não confie.
– Utilize uma solução de antivírus confiável.
Kaspersky Lab detecta este ransomware como Trojan.AndroidOS.Koler.a.