Koler, ''policijski'' malver za Android, sada se širi kao SMS crv

Mobilni telefoni, 22.10.2014, 11:21 AM

Koler, ''policijski'' malver za Android, sada se širi kao SMS crv

Stručnjaci firme AdaptiveMobile otkrili su novu verziju ransomwarea za Android poznatog pod nazivom Koler koja je trenutno veoma aktivna u SAD.

Koler je malver koji ucenjuje korisnike zaraženih telefona blokirajući ekrane uređaja zastrašujućim obaveštenjem policije koje je naravno lažno, pokušavajući da natera žrtve da plate “kaznu” da bi im uređaji otključani.

Koler je prvi put uočen u maju ove godine kada je ucenjivao korisnike zaraženih Android uređaja. U julu je primećena nova verzija malvera koja je osim mobilnih uređaja, napadala i računare.

Koler je sada promenio taktiku tako da nova verzija malvera ima novu strategiju širenja infekcije.

Nova verzija malvera ima mogućnost samo-replikacije putem SMS poruka koje se šalju svim kontaktima koje malver pronađe na zaraženom uređaju. Ovakve SMS poruke sadrže skraćeni bit.ly URL. Po svemu sudeći, autor malvera pokušava da poboljša stopu infekcije u odnosu na ranije verzije koje su se oslanjale na sakrivanje malvera na porno sajtovima.

Napad počinje kada žrtva dobije SMS poruku sa broja telefona koji ima u kontaktima. Poruka je sledeće sadržine: "someone made a profile named -Luca Pelliciari- and he uploaded some of your photos! is that you? http://bit.ly/xxxxxx".

Zanimljivo je da je poruka iste sadržine korišćena u jednoj Facebook prevari u februaru ove godine kada se Facebookov sistem za razmenu poruka koristio kao kanal za širenje. Moguće objašnjenje je da je autor malvera smatrao da je ovakav sadržaj poruke dobar mamac da privuče korisnike da kliknu na link u poruci.

Kada potencijalna žrtva klikne na link, preusmerava se na Dropbox stranicu na kojoj joj se nudi da preuzme aplikaciju “PhotoViewer”. Kada se ova aplikacija instalira, ekran uređaja je blokiran lažnom stranicom američkog FBI, na kojoj se tvrdi da je uređaj blokiran zbog gledanja i čuvanja dečije pornografije i zoofilije. Korisniku se nudi da plati “kaznu” Money Pak vaučerom.

Zaraženi uređaj je potpuno blokiran ovim obaveštenjem, tako da korisnik ne može da zatvori prozor ili deaktivira malver pomoću programa za upravljanje aplikacijama. Žrtva je prinuđena da kupi vaučer prema uputstvu na stranici koja blokira uređaj, i da pošalje kod vaučera autoru malvera.

Autor crva Koler kombinuje tehnike koje koriste SMS crvi kao što je Selfmite, sa napadima Android ransomwarea. SMS crvi se oslanjaju na spamovanje kontakata porukama koje sadrže link za preuzimanje .apk fajla. Lakše je prevariti ljude da preuzmu i instaliraju malicioznu aplikaciju na ovakav način, kada poruka dolazi od poznate osobe.

Worm.Koler šalje ovakve poruke samo jednom, za razliku od recimo nove verzije SMS crva Selfimite.B koji šalje poruke svim kontaktima iznova i iznova.

Zbog toga što Koler sada ima novu strategiju za širenje infekcije, broj inficiranih uređaja brzo raste, počev od 19. oktobra kada je započela distribucija nove verzije malvera. Tokom samo nekoliko dana, AdaptiveMobile je detektovao nekoliko stotina inficiranih telefona različitih operatera mobilne telefonije u SAD, ali i širom sveta, posebno u regionu Bliskog istoka.

Stručnjaci očekuju još novih infekcija u narednim danima.

AdaptiveMobile je zatražio od bit.ly da deaktivira link, i kontaktirao Dopbox da ukloni maliciozni fajl. Stručnjaci ove firme su upozorili korisnike da ne klikću na linkove u proukama, i da takve poruke prijave svojim operaterima.

U slučaju infekcije, ne plaćajte ništa kriminalcima, jer nema garancija da će vam, ako platite, uređaj biti odblokiran. Osim toga, plaćanjem ohrabrujete kriminalce da nastave sa takvim aktivnostima.

Malver se može ukloniti iz Safe Modea, uz pomoć standardnog Android alata za uklanjanje aplikacija.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje