Rendőrségi zsaroló program támadja a PC-ket és az Androidot
2014. augusztus 21.
A Kaspersky Lab fedezte fel a rejtett részét annak a rosszindulatú kampánynak, amely világszerte bevezette az androidos eszközökre készült Koler „rendőrségi” zsaroló programot 2014 áprilisában.
A támadás mögött álló hackerek egy nem szokványos rendszert alkalmaznak az áldozatok gépeinek szkennelésére, és személyre szabott, a tartózkodási helytől, illetve az eszköztípustól – mobil vagy PC – függő zsaroló programot vetnek be. Miután az áldozat meglátogatta a Koler üzemeltetői által használt legalább 48 rosszindulatú pornográf webhely valamelyikét, működésbe lép az átirányító infrastruktúra. Nem véletlen, hogy pornográf hálózatot használnak ennek a zsaroló programnak a terjesztésére: az áldozatok így sokkal inkább éreznek bűntudatot és fizetik meg az állítólagos bírságot a „hatóságoknak”.
Ezek a pornográf webhelyek átirányítják a felhasználókat a Keitaro Traffic Distribution System-et (TDS-t) használó központba, amely ismételten átirányítja őket. Több feltételtől függően ez a második átirányítás három különböző rosszindulatú forgatókönyv megvalósulását eredményezheti:
A Koler mobil zsaroló program telepítése. Mobil eszközzel való látogatás esetén a webhely automatikusan a rosszindulatú alkalmazáshoz irányítja a felhasználót. Azonban a felhasználónak jóvá kell hagynia a valójában a Koler zsaroló programot tartalmazó app letöltését és telepítését. Ezt követően a ransomware blokkolja a megfertőzött eszköz képernyőjét, majd 100 és 300 dollár közé eső összegű váltságdíjat kér a blokkolás feloldásáért. A malware egy, a helyi „rendőrségtől” származó lokalizált üzenetet jelenít meg, hogy a követelést hitelesebbé tegye.
Átirányítás más zsaroló webhelyekre. Egy speciális vezérlő program ellenőrzi, hogy a használt böngészőt az érintett 30 ország valamelyikének nyelvére állították-e be, valamint hogy a felhasználó nem Androidot használ, és azt, hogy a böngésző nem Internet Explorer. Ha mindhárom esetben igen a válasz, a felhasználó egy ugyanolyan blokkoló képernyőt fog látni, mint amit a mobil eszközökön használnak. Azonban ebben esetben nem történik fertőzés, és a felhasználó az Alt-F4 billentyűkombinációval egyszerűen kiléphet a blokkolásból.
Átirányítás egy, az Angler kihasználó eszközkészletet tartalmazó webhelyre. Ha a felhasználó az Internet Explorert futtatja, akkor a kampányban használt átirányítási infrastruktúra a felhasználót az Angler-nek otthont adó webhelyek valamelyikéhez küldi, amely a Silverlight, az Adobe Flash és a Java sérülékenységeit használja ki. A Kaspersky Lab elemzése során a kihasználó kód teljesen működőképes volt, ugyanakkor nem hajtott végre támadásokat, de ez bármikor megváltozhat a közeljövőben.
Mobil támadások statisztikája
A mobilokat megfertőző domaineket a kampány kezdete óta meglátogató közel 200 ezer felhasználó túlnyomó többsége (80% – 146 ezer 650) az Egyesült Államokban él. Sok felhasználó érintett még az Egyesült Királyságban (13 ezer 692), Ausztráliában (6223), Kanadában (5573), Szaúd-Arábiában (1975) és Németországban (1278).
A Kaspersky Lab megosztotta kutatási eredményeit mind az Europollal, mind az Interpollal, és jelenleg is együttműködik a rendvédelmi szervekkel az infrastruktúra leállítását eredményező intézkedési lehetőségek kidolgozásában.
Tippek a felhasználóknak – hogyan maradhatnak biztonságban:
Ne felejtsék el, hogy sohasem fognak váltságdíjat követelő hivatalos üzeneteket kapni a rendőrségtől, ezért sose fizessenek;
Ne telepítsenek böngészés közben semmilyen appot;
Ne látogassanak meg olyan webhelyeket, amelyekben nem bíznak;
Használjanak megbízható antivírus megoldást.
Kapcsolódó cikkek
- Nagy kockázatot jelent az IT stratégia mellőzése
- Nem kell Kínának a Symantec és a Kaspersky Lab
- Tíz éves a Cabir, az első mobilokat támadó vírus
- Aggasztó méreteket öltött a magánjellegű adatforgalom megfigyelése
- Félmillió eurót loptak egyetlen hét alatt egy új banki trójai vírussal
- Törölhetőek lesznek személyes adataink a webről
- Valós idejű statisztikai portált indít a Kaspersky Lab
- Digitális erődöket épít az IT piac új szereplője, a Quadron
- Nulladik napi sérülékenység az Adobe Flash Playerben
- Több felhasználó, több támadás: Bitcoinnal kereskedik? Jól meggondolta?