eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › Ransomware: trojan Koler wyłudza okup

Ransomware: trojan Koler wyłudza okup

2014-07-29 12:48

Ransomware: trojan Koler wyłudza okup

Trojan Koler wyłudza okup © Maxim_Kazmin - Fotolia.com

W kwietniu 2014 r. w ramach szkodliwej kampanii pojawiło się mobilne oprogramowanie przeznaczone dla urządzeń z systemem Android wyłudzające okup (tzw. ransomware) o nazwie Koler. Kaspersky Lab udało się wykryć jej część. Cyberprzestępcy wykorzystywali sieć pornograficzną, aby w ten sposób wzbudzić w użytkownikach poczucie winy i urealnić „policyjny” charakter żądania zapłaty.

Przeczytaj także: Zagrożenia w sieci: spokój mąci nie tylko phishing

Kampania obejmuje oparte na przeglądarce oprogramowanie wyłudzające okup oraz zestaw narzędzi do tworzenia exploitów (narzędzi pozwalających na wykorzystywanie luk w zabezpieczeniach systemów operacyjnych i aplikacji). Od 23 lipca mobilny komponent kampanii został zamknięty, ponieważ serwer kontroli zaczął wysyłać do ofiar wykorzystujących urządzenia mobilne polecenia ‘Uninstall’, skutecznie usuwające szkodliwą aplikację. Jednak pozostałe szkodliwe komponenty przeznaczone dla użytkowników komputerów PC – w tym zestaw do tworzenia exploitów – nadal są aktywne.

Osoby stojące za atakami stosowały nietypową metodę w celu skanowania systemów ofiar i oferowania oprogramowania ransomware dostosowanego do lokalizacji i typu urządzenia. Kolejny krok stanowiła infrastruktura przekierowania, po tym jak ofiara odwiedziła jedną z co najmniej 48 szkodliwych stron pornograficznych wykorzystywanych przez operatorów Kolera. Wykorzystanie sieci pornograficznej dla tego oprogramowania ransomware nie jest przypadkowe: ofiary są bardziej skłonne czuć się winne z powodu przeglądania takich stron i zapłacić rzekomą karę nałożoną przez „władze”.

fot. Maxim_Kazmin - Fotolia.com

Trojan Koler wyłudza okup

Osoby stojące za atakami stosowały nietypową metodę w celu skanowania systemów ofiar i oferowania oprogramowania ransomware dostosowanego do lokalizacji i typu urządzenia.


Strony pornograficzne przekierowują użytkowników do węzła centralnego, który wykorzystuje Keitaro Traffic Distribution System (TDS) do powtórnego przekierowywania użytkowników. W zależności od kilku czynników, to drugie przekierowanie może prowadzić do trzech różnych scenariuszy:
  • Zainstalowanie mobilnego oprogramowania ransomware o nazwie Koler. W przypadku gdy użytkownik wykorzystuje urządzenie mobilne, strona internetowa automatycznie przekierowuje go do szkodliwej aplikacji. Jednak użytkownik wciąż musi potwierdzić pobranie i instalację aplikacji – o nazwie animalporn.apk – która w rzeczywistości stanowi oprogramowanie ransomware o nazwie Koler. Szkodnik ten blokuje ekran zainfekowanego urządzenia i w zamian za odblokowanie go żąda okupu w wysokości 100 – 300 dolarów. Szkodnik wyświetla zlokalizowany komunikat „policyjny”, który czyni żądanie bardziej realistycznym.
  • Przekierowanie na dowolną ze stron internetowych ransomware. Specjalny kontroler sprawdza, czy (a) użytkownik znajduje się w jednym z 30 państw objętych kampanią (m.in. w Polsce), (b) użytkownik nie korzysta z urządzenia z Androidem i (c) użytkownik nie korzysta z Internet Explorera. Jeżeli wszystkie trzy warunki zostaną spełnione, użytkownik zobaczy ekran blokujący identyczny jak ten wykorzystywany w przypadku urządzeń mobilnych. W tym przypadku nie dochodzi do żadnej infekcji, pojawia się jedynie okienko wyskakujące pokazujące szablon blokujący. Użytkownik może jednak łatwo cofnąć blokadę, stosując prostą systemową kombinację klawiszy Alt+F4.
  • Przekierowanie do strony internetowej zawierającej Angler Exploit Kit. Jeżeli użytkownik korzysta z przeglądarki Internet Explorer, wykorzystywana w kampanii infrastruktura przekierowywania wysyła go na strony zawierające zestaw narzędzi Angler Exploit Kit, który posiada exploity dla komponentu Silverlight firmy Microsoft, Adobe Flash oraz Java. W czasie analizy przeprowadzonej przez Kaspersky Lab kod exploita był w pełni funkcjonalny, nie dostarczał jednak żadnej funkcji szkodliwej (co może się jednak zmienić w najbliższej przyszłości).

Komentując nowe odkrycia dotyczące Kolera, Vicente Diaz, główny badacz ds. bezpieczeństwa w Kaspersky Lab, powiedział: Najbardziej interesująca jest wykorzystywana w tej kampanii sieć dystrybucji. Dziesiątki generowanych automatycznie stron internetowych przekierowują ruch do węzła centralnego przy pomocy systemu dystrybucji ruchu, gdzie użytkownicy zostają przekierowani po raz kolejny. Uważamy, że infrastruktura ta pokazuje, jak dobrze zorganizowana i niebezpieczna jest cała kampania. Dzięki pełnej automatyzacji osoby atakujące mogą szybko stworzyć podobną infrastrukturę, zmieniając szkodliwą funkcję lub biorąc na celownik innych użytkowników. Ponadto cyberprzestępcy wymyślili kilka sposobów zarobienia na tej kampanii.

Liczby dotyczące ofiar infekcji mobilnej

Spośród prawie 200 000 odwiedzających mobilną domenę infekcji od początku kampanii, większość użytkowników znajduje się w Stanach Zjednoczonych (80% – 146 650), w dalszej kolejności w Wielkiej Brytanii (13 692), Australii (6 223), Kanadzie (5 573), Arabii Saudyjskiej (1 975) i Niemczech (1 278).

Kaspersky Lab poinformował o swoich odkryciach zarówno Europol, jak i Interpol i współpracuje z organami ścigania w celu zbadania możliwości zamknięcia tej infrastruktury.

Jak zachować bezpieczeństwo
  • Nie jest możliwe, aby policja wysyłała oficjalne wiadomości zawierające „żądanie okupu”, dlatego nigdy nie spełniaj takiego żądania.
  • Uważnie wybieraj aplikacje, jakie chcesz zainstalować, a które znalazłeś podczas surfowania po internecie.
  • Nie odwiedzaj niezaufanych stron internetowych.
  • Stosuj niezawodne rozwiązanie bezpieczeństwa – także na urządzeniach mobilnych.

Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed trojanem Koler (jest on wykrywany jako Trojan.AndroidOS.Koler.a).

Przeczytaj także

Megapanel V 2014

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: