Kaspersky Lab detecta ataques del ransomware para móviles Koler en PCs y dispositivos Android
Kaspersky Lab ha descubierto una parte oculta de la campaña maliciosa Koler, un ransomware de la "policía" para dispositivos móviles Android que fue detectada en abril de 2014. Esta parte incluye un ransomware basado en el navegador de PC así como un kit de exploit.
El ransomware muestra mensajes personalizados a víctimas de 30 países incluyendo Brasil, Ecuador y México; más de 200,000 víctimas se han registrado desde el inicio de la campaña
Sunrise, 29 de julio de 2014--Kaspersky Lab ha descubierto una parte oculta de la campaña maliciosa Koler, un ransomware de la "policía" para dispositivos móviles Android que fue detectada en abril de 2014. Esta parte incluye un ransomware basado en el navegador de PC así como un kit de exploit.
Desde el 23 de julio el componente móvil de esta campaña se encuentra suspendido, ya que el servidor de comando y control empezó a enviar el comando 'Desinstalar' a las víctimas dueñas de dispositivos móviles afectados. Sin embargo, el resto de los componentes maliciosos para los usuarios de PC - incluyendo el kit de exploit - siguen activos. Kaspersky Lab sigue vigilando el malware, el cual fue descrito por primera vez por un investigador de seguridad llamado Kaffeine[1] .
Los cibercriminales detrás de estos ataques emplearon un esquema inusual para estafar a los sistemas de las víctimas y enviar mensajes de ransomware personalizados dependiendo de la ubicación y tipo de dispositivo - móvil o PC. La infraestructura de redirección ocurre una vez que la víctima visita uno de por lo menos 48 sitios pornográficos maliciosos utilizados por los operadores de Koler. El uso de una red pornográfica para este ransomware no es casual: las víctimas son más propensas a sentirse culpables por navegar en tales sitios y pagan la supuesta multa de las "autoridades".
Estos sitios pornográficos redirigen a los usuarios al concentrador que utiliza el Sistema de Distribución de Tráfico Keitaro (TDS) para redirigir nuevamente a los usuarios. Con base en una serie de condiciones, esta segunda redirección puede conducir a tres diferentes escenarios maliciosos:
- Instalación del ransomware móvil Koler. En el caso de una conexión móvil, el sitio web redirige automáticamente al usuario a la aplicación maliciosa. Pero el usuario todavía tiene que confirmar la descarga e instalación de la aplicación llamada animalporn.apk - que en realidad se trata del ransomware Koler. Al recibir la confirmación, el malware bloquea la pantalla del dispositivo infectado y pide un rescate de entre $100 y $300 para que se desbloquee. El malware muestra un mensaje de la "policía" local, por lo que es más realista.
- Redirección a cualquiera de los sitios web de ransomware del navegador. Un controlador especial comprueba que (i) el agente del usuario sea de uno de los 30 países afectados, (ii) el usuario no sea un usuario Android, y (iii) la solicitud no contenga un agente de usuario Internet Explorer. En caso de recibir una respuesta afirmativa a las tres preguntas, el usuario ve una pantalla de bloqueo idéntica a la utilizada para dispositivos móviles. En este caso, no hay infección, sólo una ventana emergente que muestra una plantilla de bloqueo. Sin embargo, el usuario puede fácilmente evitar el bloqueo con una simple combinación de alt+F4.
- Redirección a un sitio web que contiene el kit de exploit Angler. Si el usuario utiliza Internet Explorer, entonces la infraestructura de redirección que se utiliza en esta campaña envía al usuario a sitios que alojan el kit de exploit Angler, el cual tiene exploits para Silverlight, Adobe Flash y Java. Durante el análisis de Kaspersky Lab, el código de explotación fue completamente funcional, sin embargo, no envió ninguna carga útil, pero esto puede cambiar en el futuro cercano.
Al comentar con relación a los últimos descubrimientos de Koler, Vicente Díaz, Investigador Principal de Seguridad en Kaspersky Lab, dijo: "Lo que resulta más interesante es la red de distribución utilizada en la campaña. Decenas de sitios web generados automáticamente redirigen el tráfico a un concentrador mediante un sistema de distribución de tráfico donde los usuarios son redirigidos nuevamente. Creemos que esta infraestructura demuestra lo bien organizada y peligrosa que es esta campaña. Los atacantes pueden crear rápidamente infraestructuras similares gracias a la automatización total, cambiando la carga útil o dirigiéndose a usuarios diferentes. Los atacantes también han ideado una serie de formas para monetizar el ingreso de su campaña en un verdadero esquema multidispositivos".
Cifras de la carga útil para móviles
Entre los casi 200,000 visitantes al dominio de infección móvil desde el inicio de la campaña, la mayoría se encuentran en los Estados Unidos (80% - 146,650), seguidos por el Reino Unido (13,692), Australia (6,223), Canadá (5,573), Arabia Saudita (1,975) y Alemania (1,278). En Latinoamérica, Brasil, Ecuador y México son los países más afectados por este malware.
Kaspersky Lab ha compartido sus hallazgos con la Europol y la Interpol, y actualmente colabora con organismos encargados de hacer cumplir la ley para explorar la posibilidad de cerrar la infraestructura.
Consejos para los usuarios - cómo mantenerse seguros:
- Recuerde que nunca recibirá mensajes de "rescate" oficiales de la policía, por lo tanto nunca los pague.
- No instale ninguna aplicación que encuentre mientras navega.
- No visite sitios web en los que no confíe.
- Utilice una solución de antivirus fiable.
Kaspersky Lab detecta este ransomware como Trojan.AndroidOS.Koler.a.
El informe completo está disponible en securelist.com.
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado de soluciones para protección de endpoints más grande del mundo. La empresa se sitúa entre las cuatro mejores del mundo como proveedora de soluciones de seguridad para usuarios endpoint*. A lo largo de sus más de 16 años de historia, Kaspersky Lab se ha conservado como innovadora en seguridad de TI y ofrece soluciones de seguridad digital efectivas para las grandes empresas, PyMEs y consumidores. Con su compañía tenedora registrada en el Reino Unido, Kaspersky Lab opera en casi 200 países y territorios de todo el mundo, ofreciendo protección a más de 300 millones de usuarios en el mundo. Más información en http://latam.kaspersky.com
* La compañía ha sido calificada cuarta en la clasificación de IDC Ingresos Mundiales por concepto de Seguridad para Endpoint por Fabricante, 2012. La calificación fue publicada en el informe de IDC "Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares" (IDC #242618, agosto, 2013). El informe clasificó a los fabricantes de software de acuerdo con los ingresos procedentes de la venta de soluciones de seguridad para endpoint en el año 2012.
[1] http://malware.dontneedcoffee.com/2014/05/police-locker-available-for-your.html
Kaspersky Lab detecta ataques del ransomware para móviles Koler en PCs y dispositivos Android
Kaspersky
Artículo relacionado Comunicados de prensa
Kaspersky VPN gana el “Oscar” de AV-TEST por su velocidad y rendimiento
Los resultados de las pruebas revelan una asombrosa mejora del 355% en las velocidades de carga para conexiones en el extranjero, lo que demuestra la eficiencia de la plataforma.LEER MÁS >Llega Kaspersky Next, la nueva línea de productos emblemáticos para empresas
La nueva oferta proporciona tres niveles de protección, diseñados para ajustarse a las necesidades de cada organización, así como a la complejidad de su infraestructura de TI y los recursos disponiblesLEER MÁS >La mitad de las empresas latinoamericanas carece de personal calificado en ciberseguridad, revela Kaspersky
Estudio de la compañía de seguridad informática señala que el ritmo de crecimiento del mercado TI está cambiando tan rápidamente, que es un desafío formar a especialistas con las habilidades y conocimientos necesarios para satisfacer la demandaLEER MÁS >