Mobile Koler-Ransomware der „Polizei“

Worum geht es?

Koler ist ein versteckter Teil einer schädlichen Kampagne, die im April 2014 die mobile Koler- Ransomware der „Polizei“ auf Android-Geräte losließ. Dieser Teil beinhaltete Browser-basierte Ransomware und ein Exploit-Kit.

Die Verantwortlichen für die Angriffe nutzten eine ungewöhnliche Methode, um die Systeme der Opfer zu scannen und auf Standort und Gerätetyp (Mobilgerät oder PC) abgestimmte Ransomware bereitzustellen. Die Umleitungsinfrastruktur stellt den zweiten Schritt dar, nachdem ein Opfer eine von mindestens 48 schädlichen pornografischen Webseiten besucht, die von den Koler-Verantwortlichen genutzt werden. Die Nutzung eines pornografischen Netzwerks für diese Ransomware ist kein Zufall: Denn so fühlen sich Opfer eher schuldig und zahlen die vermeintliche Strafe an die Behörden.

Am 23. Juli wurde die mobile Komponente der Kampagne jedoch unterbrochen – seit diesem Datum sendet der CnC-Server (Command and Control) Deinstallationsbefehle an mobile Opfer, wodurch die Malware effektiv gelöscht wird. Die übrigen schädlichen Komponenten für PC-Nutzer, einschließlich Exploit-Kit, sind jedoch noch aktiv.

Virendetails

48 pornografische Webseiten leiten Benutzer zum zentralen Hub um, der Benutzer mithilfe des Keitaro Traffic Distribution System (TDS) erneut umleitet. Je nach Anzahl der Verbindungen kann diese zweite Weiterleitung zu drei verschiedenen Szenarien führen:

- Installation der mobilen Koler-Ransomware: Wird die Seite über ein Mobilgerät aufgerufen, wird der Benutzer automatisch zur schädlichen App umgeleitet. Hier muss der Benutzer dem Download und der Installation von „animalporn.apk“ – die App, bei der es sich in Wahrheit um die Koler-Ransomware handelt – jedoch noch zustimmen. Diese blockiert den Bildschirm des infizierten Geräts und fordert ein Lösegeld zwischen 100 und 300 US-Dollar, damit das Gerät wieder entsperrt wird. Die Malware zeigt einen lokalisierten Text an, der angeblich von der Polizei stammt, um den Benutzer von der Echtheit zu überzeugen.

- Umleitung zu einer Ransomware-Webseite: Ein spezieller Controller überprüft, ob (i) der Benutzeragent sich nicht in einem der 30 betroffenen Länder befindet, (ii) es sich um einen Android-Nutzer handelt und (iii) die Anfrage von einem Internet Explorer-Benutzeragenten stammt. Wenn die Antwort auf diese drei Fragen „Nein“ lautet, wird ein Sperrbildschirm angezeigt, der mit der mobilen Version identisch ist. Jedoch erfolgt in diesem Fall keine Infektion, sondern es wird lediglich ein Pop-up mit dem Sperrbildschirm angezeigt. Der Benutzer kann die Blockierung also einfach mit der Tastenkombination Alt+F4 umgehen.

- Umleitung zu einer Webseite mit Angler-Exploit-Kit: Wenn der Benutzer Internet Explorer verwendet, sendet ihn die in der Kampagne eingesetzte Umleitungsinfrastruktur an Webseiten, die das Angler-Exploit-Kit hosten. Während der Analyse durch Kaspersky Lab wurde der Exploit-Code vollständig aktiv, stellte jedoch keine Payload bereit – das kann sich aber in Zukunft ändern.

Empfehlungen für Ihre Sicherheit

• Denken Sie daran, dass Sie niemals offizielle „Lösegeldforderungen“ (auch nicht in Form von sofort zu entrichtenden Online-Strafen) von der Polizei erhalten. Bezahlen Sie bei entsprechenden Forderungen also nicht.
• Installieren Sie keine Apps, die Sie zufällig beim Surfen entdecken.
• Besuchen Sie keine Webseiten, denen Sie nicht vertrauen.
• Nutzen Sie eine zuverlässige Antiviren-Lösung.