''Policijski'' malver Koler zarazio više od 200000 Android uređaja

Mobilni telefoni, 29.07.2014, 10:11 AM

''Policijski'' malver Koler zarazio više od 200000 Android uređaja

Početkom maja otkriven je novi ransomware za Android - Android.OS.Koler.a, zlonamerni program koji blokira ekran zaraženog Android uređaja i traži od 100 do 300 dolara za njegovo otključavanje. Koler ne nanosi bilo kakvu štetu zaraženom uređaju, zato što nema kapacitet za šifrovanje fajlova niti blokiranje uređaja na bilo koji način složeniji od zaključavanja ekrana.

Obaveštenje koje prikazuje malver je prilagođeno lokaciji na kojoj se nalazi korisnik tako da izgleda kao upozorenje policije zemlje u kojoj se nalazi korisnik zaraženog uređaja. Tako malver prikazuje upozorenja australijske, američke, britanske, austrijske, nemačke, francuske, slovenačke, turske, poljske, češke policije i policija desetina drugih država.

Prema podacima kojima raspolaže Kaspersky Lab, policijski malver Koler zarazio je više od 200000 Android uređaja do 23. jula kada je mobilni deo kampanje prekinut i kada je server za komandu i kontrolu žrtvama počeo da šalje zahtev za deinstalaciju.

Koler je inficirao daleko veći broj uređaja nego što se najpre mislilo.

“Tokom naše analize, otkrili smo da je infrastruktura iza procesa distribucije i infekcije daleko složenija od očekivane. Mobilna infekcija se aktivira kada korisnici posete određene pornografske sajtove. Ovi sajtovi su deo distributivne mreže stvorene za potrebe ove kampanje”, kaže se u izveštaju koji je o malveru Koler objavila kompanija Kaspersky.

“Svi porno sajtovi u kampanji preusmeravaju svoj saobraćaj ka istom serveru: hxxp://video-porno-gratuit.eu. Ovaj domen hostuje maliciozni APK. Kada ga poseti, web sajt automatski preusmerava korisnika na malicioznu aplikaciju.”

Zanimljivo je da je distributivna mreža mogla da se koristi i za napade na Windows računare.

Desetine automatski generisanih web sajtova preusmeravaju saobraćaj na centralno čvorište odakle se korisnici ponovo preusmeravaju u zavisnosti od toga koji uređaj i operativni sistem koriste. To drugo preumeravanje može biti ka malicioznoj Android aplikaciji, ransomwareu baziranom na browseru ili web sajtu sa exploit kitom Angler.

SAD i Velika Britanija najteže su pogođeni ovim malverom. Najviše zaraženih uređaja je u SAD (oko 146000), ali infekcija ima i u Velikoj Britaniji (13692), Australiji (6223) i Kanadi (5573).

Korišćenje pornografske mreže u distribuciji ovog “policijskog” malvera nije slučajnost, kažu iz kompanije Kaspersky. Kriminalci računaju na to da će se žrtve osetiti krivim zbog toga što su tražile takav sadržaj i da će lakše platiti navodnu kaznu.

Iz Kaspersky Laba upozoravaju da su pronašli razločite APK fajlove sa istim ponašanjem, ali da neki od njih još uvek nisu distribuirani preko ove mreže. Oni imaju zanimljiva imena kao što su PronHub.com.Apk, whatsapp.apk ili updateflash.apk. To ukazuje da bi u bliskoj budućnosti napadači, za koje u Kaspersky Labu veruju da su isti oni koji stoje iza malvera Reveton čiji je kod baziran na kodu trojanca Citadel, mogli proširi svoju kampanju.

Ransomwarei za mobilne uređaje bili su na skoro svim listama pretnji predviđenih za 2014. godinu. Oni su još uvek daleko iza sofisticiranih familija ransomwarea kao što je Cryptolocker za Windows. Iako su za sada prilično jednostavni, mobilni ransomwarei su dovoljni da vam bar malo zakomplikuju život. U slučaju malvera Koler, rešenje nije previše komplikovano a kako ono izgleda možete pogledati na blogu Malwarebytes.

Detaljniju tehničku analizu distributivne infrastrukture ransomwarea Koler možete naći na blogu kompanije Kaspersky.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Nakon medijskih izveštaja da čitač otiska prsta u Samsung Galaxy S10 telefonima otključava uređaj i kad skenira neregistrovane otiske prstiju pre... Dalje

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Par iz Velike Britanije primetio je čudnu grešku na svom Samsung Galaxy S10 koja omogućava da se zaobiđe čitač otiska prsta kako bi se otključ... Dalje

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Uprkos Googleovim naporima da njegova prodavnica Android aplikacija bude bez malvera, maliciozne aplikacije i dalje nekako uspevaju da prođu proces p... Dalje

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Skoro svaka aplikacija sadrži bezbednosne propuste, od kojih će neki možda biti otkriveni već danas, ali drugi će ostati nevidljivi dok ih neko n... Dalje

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Googleova Grupa za analizu pretnji (TAG) otkrila je novi 0-day bag u Androidu koji se uveliko koristi za napade na ranjive pametne telefone - Google P... Dalje