Koler, ''policijski'' malver za Android, sada se širi kao SMS crv

Mobilni telefoni, 22.10.2014, 11:21 AM

Stručnjaci firme AdaptiveMobile otkrili su novu verziju ransomwarea za Android poznatog pod nazivom Koler koja je trenutno veoma aktivna u SAD.

Koler je malver koji ucenjuje korisnike zaraženih telefona blokirajući ekrane uređaja zastrašujućim obaveštenjem policije koje je naravno lažno, pokušavajući da natera žrtve da plate “kaznu” da bi im uređaji otključani.

Koler je prvi put uočen u maju ove godine kada je ucenjivao korisnike zaraženih Android uređaja. U julu je primećena nova verzija malvera koja je osim mobilnih uređaja, napadala i računare.

Koler je sada promenio taktiku tako da nova verzija malvera ima novu strategiju širenja infekcije.

Nova verzija malvera ima mogućnost samo-replikacije putem SMS poruka koje se šalju svim kontaktima koje malver pronađe na zaraženom uređaju. Ovakve SMS poruke sadrže skraćeni bit.ly URL. Po svemu sudeći, autor malvera pokušava da poboljša stopu infekcije u odnosu na ranije verzije koje su se oslanjale na sakrivanje malvera na porno sajtovima.

Napad počinje kada žrtva dobije SMS poruku sa broja telefona koji ima u kontaktima. Poruka je sledeće sadržine: "someone made a profile named -Luca Pelliciari- and he uploaded some of your photos! is that you? http://bit.ly/xxxxxx".

Zanimljivo je da je poruka iste sadržine korišćena u jednoj Facebook prevari u februaru ove godine kada se Facebookov sistem za razmenu poruka koristio kao kanal za širenje. Moguće objašnjenje je da je autor malvera smatrao da je ovakav sadržaj poruke dobar mamac da privuče korisnike da kliknu na link u poruci.

Kada potencijalna žrtva klikne na link, preusmerava se na Dropbox stranicu na kojoj joj se nudi da preuzme aplikaciju “PhotoViewer”. Kada se ova aplikacija instalira, ekran uređaja je blokiran lažnom stranicom američkog FBI, na kojoj se tvrdi da je uređaj blokiran zbog gledanja i čuvanja dečije pornografije i zoofilije. Korisniku se nudi da plati “kaznu” Money Pak vaučerom.

Zaraženi uređaj je potpuno blokiran ovim obaveštenjem, tako da korisnik ne može da zatvori prozor ili deaktivira malver pomoću programa za upravljanje aplikacijama. Žrtva je prinuđena da kupi vaučer prema uputstvu na stranici koja blokira uređaj, i da pošalje kod vaučera autoru malvera.

Autor crva Koler kombinuje tehnike koje koriste SMS crvi kao što je Selfmite, sa napadima Android ransomwarea. SMS crvi se oslanjaju na spamovanje kontakata porukama koje sadrže link za preuzimanje .apk fajla. Lakše je prevariti ljude da preuzmu i instaliraju malicioznu aplikaciju na ovakav način, kada poruka dolazi od poznate osobe.

Worm.Koler šalje ovakve poruke samo jednom, za razliku od recimo nove verzije SMS crva Selfimite.B koji šalje poruke svim kontaktima iznova i iznova.

Zbog toga što Koler sada ima novu strategiju za širenje infekcije, broj inficiranih uređaja brzo raste, počev od 19. oktobra kada je započela distribucija nove verzije malvera. Tokom samo nekoliko dana, AdaptiveMobile je detektovao nekoliko stotina inficiranih telefona različitih operatera mobilne telefonije u SAD, ali i širom sveta, posebno u regionu Bliskog istoka.

Stručnjaci očekuju još novih infekcija u narednim danima.

AdaptiveMobile je zatražio od bit.ly da deaktivira link, i kontaktirao Dopbox da ukloni maliciozni fajl. Stručnjaci ove firme su upozorili korisnike da ne klikću na linkove u proukama, i da takve poruke prijave svojim operaterima.

U slučaju infekcije, ne plaćajte ništa kriminalcima, jer nema garancija da će vam, ako platite, uređaj biti odblokiran. Osim toga, plaćanjem ohrabrujete kriminalce da nastave sa takvim aktivnostima.

Malver se može ukloniti iz Safe Modea, uz pomoć standardnog Android alata za uklanjanje aplikacija.