Koler-”polis”-mobilutpressningsviruset

VIRUSDEFINITION

Kallas även: Trojan.AndroidOS.Koler.a.
Virustyp: utpressningsvirus (mobilt)

Vad är det?

Koler är ett dolt mobilt utpressningsvirus för Android-enheter. Det dök upp i april 2014. Viruset, som ingår i en bred attack, består av webbläsarbaserad utpressningskod och ett sårbarhetspaket.

Hackarna bakom har använt en ovanlig metod för att skanna offrens system och sätta in anpassad utpressningskod beroende på plats och enhetstyp (mobilt eller dator). Vidarekopplingsinfrastrukturen är nästa steg, efter det att användaren besökt någon av de minst 48 pornografiska webbplatser där Koler-hackarna sprider sin skadliga kod. Användningen av pornografiska webbplatser är ingen slump: offren är mer benägna att känna dåligt samvete för sådant innehåll, och då är de även mer benägna att betala hackarnas falska böter.

Sedan 23 juli har den mobila komponenten i attacken lidit nederlag, eftersom man då i styr- och kontrollservern skickade avinstallationskommandon till de drabbade mobila enheterna, vilket raderade det skadliga programmet. Men resten av de skadliga komponenterna (t.ex. sårbarhetspaketet) för PC-användare är fortfarande aktiva.

Om viruset

På 48 olika pornografiska webbplatser dirigeras användaren om till ett centralt nav där hackarna omdirigerar användarna igen, med Keitaro-trafikdistribution (TDS). Beroende på ett antal villkor leder den andra omdirigeringen till ett av tre scenarier:

– Installation av Koler-mobilviruset. Om man surfar in på webbplatsen med en mobil enhet omdirigeras man automatiskt till det skadliga programmet. Men användaren måste ändå bekräfta hämtningen och installationen av programmet (animalporn.apk), som alltså är Koler-viruset i förklädnad. Hackarna blockerar då skärmen på den smittade enheten och begär sedan en lösen på några tusen kronor för att låsa upp den. Användaren får upp ett (falskt) meddelande från Polisen, vilket gör det hela mer övertygande.

– Omdirigering till någon av viruswebbplatserna. Med en särskild styrenhet dubbelkollar hackarna (i) att användaragenten finns i något av de 30 drabbade länderna, (ii) att användaren inte är en Android-användare och (iii) att begäran inte innehåller någon Internet Explorer-användaragent. Om det är ja på alla tre får användaren upp samma meddelande om blockerad skärm som hackarna använder för mobila enheter. Detta innebär inte att man drabbats av viruset. Det rör sig bara om ett popupfönster med en blockeringsmall. Användaren kan enkelt undvika blockeringen genom att trycka alt+F4.

– Omdirigering till en webbplats där hackarna sprider det så kallade Angler Exploit Kit. Om du använder Internet Explorer skickas du, genom omdirigeringsinfrastrukturen i denna attack, till värdwebbplatser för Angler Exploit Kit, ett paket som hackarna använder mot Silverlight, Adobe Flash och Java. I vårt test var angreppskoden fullt funktionell, men åstadkom ingen skadeverkan. Det kan för all del komma att ändras i den närmaste framtiden.

Så skyddar du dig mot det här viruset

Polisväsendets representanter skickar aldrig meddelanden om att du måste betala böter för att kunna använda datorn, så betala aldrig om du får ett sådant krav.
Installera aldrig appar som du hittar när du surfar.
Undvik webbplatser som du inte litar på.
Använd en pålitlig antiviruslösning.

Andra artiklar och länkar om Koler-utpressningsviruset