Koler, el ransomware móvil "de la policía"

Resumen: en esta sección, descubrirás las amenazas y virus más comunes y posiblemente peligrosos, además de las definiciones de los virus, cómo te pueden infectar y qué puedes hacer al respecto.

DEFINICIÓN DEL VIRUS

También denominado: Trojan.AndroidOS.Koler.a.
Tipo de virus: ransomware (móvil)

¿Qué es?

Koler es un componente oculto de una campaña maliciosa que lanzó al mundo el ransomware móvil "de la policía" dirigida a dispositivos Android en abril de 2014. Este componente incluye un tipo de ransomware basado en navegador y un kit de exploits.

Los criminales que desarrollaron el ataque utilizaron un esquema inusual para analizar los sistemas de las víctimas y ofrecer ransomware personalizado en función de la ubicación y el tipo de dispositivo, móvil o PC. El paso siguiente es la infraestructura de redirección, después de que una víctima visita cualquiera de los al menos 48 sitios web pornográficos maliciosos que usan los operadores de Koler. El uso de una red de sitios web pornográficos para este ransomware no es casual: es probable que las víctimas se sientan culpables por buscar dicho contenido y paguen la presunta multa a las "autoridades".

El componente móvil de la campaña se desactivó el 23 de julio, cuando el servidor de comando y control comenzó a enviar comandos de "Desinstalación" a las víctimas con dispositivos móviles, que eliminaba eficazmente la aplicación maliciosa. Sin embargo, los demás componentes maliciosos para usuarios de PC (incluido el kit de exploits) permanecen activos.

Detalles del virus

48 sitios pornográficos dirigen a los usuarios al centro que usa el sistema de distribución de tráfico (TDS) Keitaro para redirigir a los usuarios de nuevo. Este segundo redireccionamiento puede dar lugar a tres situaciones de infección maliciosa según una serie de condiciones:

- Instalación del ransomware móvil Koler. En caso de una interacción móvil, el sitio web redirige automáticamente al usuario a la aplicación maliciosa. Sin embargo, el usuario sigue teniendo que confirmar la descarga y la instalación de la aplicación (llamada animalporn.apk), que en realidad es el ransomware Koler. Este bloquea la pantalla de un dispositivo infectado y solicita un rescate de entre $100 y $300 a cambio de desbloquearla. El malware muestra un mensaje localizado de la "policía", para conferirle mayor realismo.

- Redireccionamiento a cualquiera de los sitios web de ransomware del navegador. Un controlador especial comprueba si (i) el agente de usuario pertenece a uno de los 30 países afectados, (ii) el usuario no es un usuario de Android y (iii) la solicitud no contiene un agente de usuario de Internet Explorer. Si verifica estos tres hechos, el usuario ve una pantalla de bloqueo idéntica a la que se usa para dispositivos móviles. En este caso, no existe infección, sino solo una ventana emergente que muestra una plantilla de bloqueo. El usuario puede evitar fácilmente el bloqueo con solo presionar la combinación alt+F4.

- Redirección a un sitio web que contiene el Kit de exploits Angler. Si el usuario usa Internet Explorer, entonces la infraestructura de redirección utilizada en esta campaña lo dirige a sitios que alojan el Kit de exploits Angler, que incluye exploits para Silverlight, Adobe Flash y Java. Durante el análisis de Kaspersky Lab, el código del exploit seguía siendo totalmente funcional; sin embargo, no entregaba ninguna carga, pero esto puede cambiar en un futuro próximo.

Recomendaciones para mantenerte seguro

Recuerda que nunca recibirás mensajes de "rescate" oficiales de la policía, por lo que no debes pagarlos nunca;
No instales ninguna aplicación que encuentres mientras navegas;
No visites sitios web en los que no confíes;
Utiliza una solución antivirus confiable.