A A A

Koler - trojan atakuj?cy u?ytkowników Androida

29 lipca 2014, 11:15
Zdemaskowano kolejnego, "policyjnego" wirusa, czyli oprogramowanie wy?udzaj?ce okup. Gro?ny ransomware nosi nazw? Koler i atakuje urz?dzenia z systemem Android.
Koler - trojan atakuj?cy u?ytkowników Androida

Kampania obejmuje oparte na przegl?darce oprogramowanie wy?udzaj?ce okup oraz zestaw narz?dzi do tworzenia exploitów (narz?dzi pozwalaj?cych na wykorzystywanie luk w zabezpieczeniach systemów operacyjnych i aplikacji). Od 23 lipca mobilny komponent kampanii zosta? zamkni?ty, poniewa? serwer kontroli zacz?? wysy?a? do ofiar wykorzystuj?cych urz?dzenia mobilne polecenia "Uninstall", skutecznie usuwaj?ce szkodliw? aplikacj?. Jednak pozosta?e szkodliwe komponenty przeznaczone dla u?ytkowników komputerów PC - w tym zestaw do tworzenia exploitów - nadal s? aktywne.

Kaspersky Lab monitoruje to szkodliwe oprogramowanie, które po raz pierwszy zosta?o opisane przez badacza ds. bezpiecze?stwa znanego pod pseudonimem Kaffeine.Osoby stoj?ce za atakami stosowa?y nietypow? metod? w celu skanowania systemów ofiar i oferowania oprogramowania ransomware dostosowanego do lokalizacji i typu urz?dzenia - urz?dzenie mobilne czy PC. Kolejny krok stanowi?a infrastruktura przekierowania, po tym jak ofiara odwiedzi?a jedn? z co najmniej 48 szkodliwych stron pornograficznych wykorzystywanych przez operatorów Kolera. Wykorzystanie sieci pornograficznej dla tego oprogramowania ransomware nie jest przypadkowe: ofiary s? bardziej sk?onne czu? si? winne z powodu przegl?dania takich stron i zap?aci? rzekom? kar? na?o?on? przez „w?adze".

Strony pornograficzne przekierowuj? u?ytkowników do w?z?a centralnego, który wykorzystuje Keitaro Traffic Distribution System (TDS) do powtórnego przekierowywania u?ytkowników. W zale?no?ci od kilku czynników, to drugie przekierowanie mo?e prowadzi? do trzech ró?nych scenariuszy:

- Zainstalowanie mobilnego oprogramowania ransomware o nazwie Koler. W przypadku gdy u?ytkownik wykorzystuje urz?dzenie mobilne, strona internetowa automatycznie przekierowuje go do szkodliwej aplikacji. Jednak u?ytkownik wci?? musi potwierdzi? pobranie i instalacj? aplikacji - o nazwie animalporn.apk - która w rzeczywisto?ci stanowi oprogramowanie ransomware o nazwie Koler. Szkodnik ten blokuje ekran zainfekowanego urz?dzenia i w zamian za odblokowanie go ??da okupu w wysoko?ci 100 - 300 dolarów. Szkodnik wy?wietla zlokalizowany komunikat „policyjny", który czyni ??danie bardziej realistycznym.

- Przekierowanie na dowoln? ze stron internetowych ransomware. Specjalny kontroler sprawdza, czy (a) u?ytkownik znajduje si? w jednym z 30 pa?stw obj?tych kampani? (m.in. w Polsce), (b) u?ytkownik nie korzysta z urz?dzenia z Androidem i (c) u?ytkownik nie korzysta z Internet Explorera. Je?eli wszystkie trzy warunki zostan? spe?nione, u?ytkownik zobaczy ekran blokuj?cy identyczny jak ten wykorzystywany w przypadku urz?dze? mobilnych. W tym przypadku nie dochodzi do ?adnej infekcji, pojawia si? jedynie okienko wyskakuj?ce pokazuj?ce szablon blokuj?cy. U?ytkownik mo?e jednak ?atwo cofn?? blokad?, stosuj?c prost? systemow? kombinacj? klawiszy Alt+F4.

- Przekierowanie do strony internetowej zawieraj?cej Angler Exploit Kit. Je?eli u?ytkownik wykorzystuje przegl?dark? Internet Explorer, u?yta w kampanii infrastruktura przekierowywania wysy?a go na strony zawieraj?ce zestaw narz?dzi Angler Exploit Kit, który posiada exploity dla komponentu Silverlight firmy Microsoft, Adobe Flash oraz Java. W czasie analizy przeprowadzonej przez Kaspersky Lab, kod exploita by? w pe?ni funkcjonalny, nie dostarcza? jednak ?adnej funkcji szkodliwej (co mo?e si? jednak zmieni? w najbli?szej przysz?o?ci).

Komentuj?c nowe odkrycia dotycz?ce Kolera, Vicente Diaz, g?ówny badacz ds. bezpiecze?stwa w Kaspersky Lab, powiedzia?: „Najbardziej interesuj?ca jest wykorzystywana w tej kampanii sie? dystrybucji. Dziesi?tki generowanych automatycznie stron internetowych przekierowuj? ruch do w?z?a centralnego przy pomocy systemu dystrybucji ruchu, gdzie u?ytkownicy zostaj? przekierowani po raz kolejny. Uwa?amy, ?e infrastruktura ta pokazuje, jak dobrze zorganizowana i niebezpieczna jest ca?a kampania. Dzi?ki pe?nej automatyzacji osoby atakuj?ce mog? szybko stworzy? podobn? infrastruktur?, zmieniaj?c szkodliw? funkcj? lub bior?c na celownik innych u?ytkowników. Ponadto cyberprzest?pcy wymy?lili kilka sposobów zarobienia na tej kampanii".

Spo?ród prawie 200 000 odwiedzaj?cych mobiln? domen? infekcji od pocz?tku kampanii, wi?kszo?? u?ytkowników znajduje si? w Stanach Zjednoczonych (80 proc. - 146 650), w dalszej kolejno?ci w Wielkiej Brytanii (13 692), Australii (6 223), Kanadzie (5 573), Arabii Saudyjskiej (1 975) i Niemczech (1 278). Kaspersky Lab poinformowa? o swoich odkryciach zarówno Europol, jak i Interpol i wspó?pracuje z organami ?cigania w celu zbadania mo?liwo?ci zamkni?cia tej infrastruktury.

Wskazówki dla u?ytkowników - jak zachowa? bezpiecze?stwo:

- Pami?taj, ?e nie jest mo?liwe, aby policja wysy?a?a oficjalne wiadomo?ci zawieraj?ce „??danie okupu", dlatego nigdy nie spe?niaj takiego ??dania.
- Nie instaluj ka?dej aplikacji, jak? znajdziesz podczas surfowania po internecie.
- Nie odwiedzaj niezaufanych stron internetowych.
- Stosuj niezawodne rozwi?zanie bezpiecze?stwa - tak?e na urz?dzeniach mobilnych.

 


Tagi:
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności


Nie zapomnij o ha?le!
21 czerwca 2022
Cho? mog? si? wydawa? ma?o nowoczesne, has?a to nadal nie tylko jeden z najpopularniejszych sposobów zabezpieczania swoich kont, ale tak?e –...



Notice: MemcachePool::get(): Server localhost (tcp 11211, udp 0) failed with: Connection refused (111) in /var/www/pcformat.pl/library/Zend/Cache/Backend/Memcached.php on line 195
Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto