Koler, ''policijski'' malver za Android, sada se širi kao SMS crv

Mobilni telefoni, 22.10.2014, 11:21 AM

Koler, ''policijski'' malver za Android, sada se širi kao SMS crv

Stručnjaci firme AdaptiveMobile otkrili su novu verziju ransomwarea za Android poznatog pod nazivom Koler koja je trenutno veoma aktivna u SAD.

Koler je malver koji ucenjuje korisnike zaraženih telefona blokirajući ekrane uređaja zastrašujućim obaveštenjem policije koje je naravno lažno, pokušavajući da natera žrtve da plate “kaznu” da bi im uređaji otključani.

Koler je prvi put uočen u maju ove godine kada je ucenjivao korisnike zaraženih Android uređaja. U julu je primećena nova verzija malvera koja je osim mobilnih uređaja, napadala i računare.

Koler je sada promenio taktiku tako da nova verzija malvera ima novu strategiju širenja infekcije.

Nova verzija malvera ima mogućnost samo-replikacije putem SMS poruka koje se šalju svim kontaktima koje malver pronađe na zaraženom uređaju. Ovakve SMS poruke sadrže skraćeni bit.ly URL. Po svemu sudeći, autor malvera pokušava da poboljša stopu infekcije u odnosu na ranije verzije koje su se oslanjale na sakrivanje malvera na porno sajtovima.

Napad počinje kada žrtva dobije SMS poruku sa broja telefona koji ima u kontaktima. Poruka je sledeće sadržine: "someone made a profile named -Luca Pelliciari- and he uploaded some of your photos! is that you? http://bit.ly/xxxxxx".

Zanimljivo je da je poruka iste sadržine korišćena u jednoj Facebook prevari u februaru ove godine kada se Facebookov sistem za razmenu poruka koristio kao kanal za širenje. Moguće objašnjenje je da je autor malvera smatrao da je ovakav sadržaj poruke dobar mamac da privuče korisnike da kliknu na link u poruci.

Kada potencijalna žrtva klikne na link, preusmerava se na Dropbox stranicu na kojoj joj se nudi da preuzme aplikaciju “PhotoViewer”. Kada se ova aplikacija instalira, ekran uređaja je blokiran lažnom stranicom američkog FBI, na kojoj se tvrdi da je uređaj blokiran zbog gledanja i čuvanja dečije pornografije i zoofilije. Korisniku se nudi da plati “kaznu” Money Pak vaučerom.

Zaraženi uređaj je potpuno blokiran ovim obaveštenjem, tako da korisnik ne može da zatvori prozor ili deaktivira malver pomoću programa za upravljanje aplikacijama. Žrtva je prinuđena da kupi vaučer prema uputstvu na stranici koja blokira uređaj, i da pošalje kod vaučera autoru malvera.

Autor crva Koler kombinuje tehnike koje koriste SMS crvi kao što je Selfmite, sa napadima Android ransomwarea. SMS crvi se oslanjaju na spamovanje kontakata porukama koje sadrže link za preuzimanje .apk fajla. Lakše je prevariti ljude da preuzmu i instaliraju malicioznu aplikaciju na ovakav način, kada poruka dolazi od poznate osobe.

Worm.Koler šalje ovakve poruke samo jednom, za razliku od recimo nove verzije SMS crva Selfimite.B koji šalje poruke svim kontaktima iznova i iznova.

Zbog toga što Koler sada ima novu strategiju za širenje infekcije, broj inficiranih uređaja brzo raste, počev od 19. oktobra kada je započela distribucija nove verzije malvera. Tokom samo nekoliko dana, AdaptiveMobile je detektovao nekoliko stotina inficiranih telefona različitih operatera mobilne telefonije u SAD, ali i širom sveta, posebno u regionu Bliskog istoka.

Stručnjaci očekuju još novih infekcija u narednim danima.

AdaptiveMobile je zatražio od bit.ly da deaktivira link, i kontaktirao Dopbox da ukloni maliciozni fajl. Stručnjaci ove firme su upozorili korisnike da ne klikću na linkove u proukama, i da takve poruke prijave svojim operaterima.

U slučaju infekcije, ne plaćajte ništa kriminalcima, jer nema garancija da će vam, ako platite, uređaj biti odblokiran. Osim toga, plaćanjem ohrabrujete kriminalce da nastave sa takvim aktivnostima.

Malver se može ukloniti iz Safe Modea, uz pomoć standardnog Android alata za uklanjanje aplikacija.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Nakon medijskih izveštaja da čitač otiska prsta u Samsung Galaxy S10 telefonima otključava uređaj i kad skenira neregistrovane otiske prstiju pre... Dalje

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Par iz Velike Britanije primetio je čudnu grešku na svom Samsung Galaxy S10 koja omogućava da se zaobiđe čitač otiska prsta kako bi se otključ... Dalje

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Uprkos Googleovim naporima da njegova prodavnica Android aplikacija bude bez malvera, maliciozne aplikacije i dalje nekako uspevaju da prođu proces p... Dalje

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Skoro svaka aplikacija sadrži bezbednosne propuste, od kojih će neki možda biti otkriveni već danas, ali drugi će ostati nevidljivi dok ih neko n... Dalje

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Googleova Grupa za analizu pretnji (TAG) otkrila je novi 0-day bag u Androidu koji se uveliko koristi za napade na ranjive pametne telefone - Google P... Dalje