Los especialistas de Kaspersky Lab detectaron una nueva acción en la campaña de dispersión del ransomware móvil denominado Koler para los dispositivos Android. Específicamente el componente móvil de la campaña fue alterado y el servidor de comando y control comenzó a enviar el comando Desinstalar a los dispositivos infectados.
Es importante señalar que el resto de los componentes maliciosos para usuarios de PCs, incluyendo el kit de explotación, siguen activos y Kaspersky Lab sigue monitoreando el malware.
Los ciberdelincuentes que están detrás de los ataques emplearon un esquema inusual para escanear los sistemas de las víctimas y enviar ransomware personalizado en función de su ubicación y tipo de dispositivo. Después de que la víctima visita cualquiera de los más de 48 sitios web pornográficos maliciosos utilizados por los operadores de Koler, el dispositivo es redirigido a sitios de pornografía.
Estos sitios pornográficos redirigen a los usuarios al hub central, que utiliza el sistema de distribución de tráfico Keitaro para redirigir a los visitantes. En función de una serie de condiciones, esta segunda redirección puede derivar en tres escenarios maliciosos diferentes:
- Instalación del ransomware móvil Koler. En caso de usar un dispositivo móvil, el sitio web redirige automáticamente al usuario de la aplicación maliciosa. Sin embargo, el usuario todavía tiene que confirmar la descarga e instalación de la aplicación, llamada animalporn.apk, que en realidad es el ransomware Koler. Este bloquea la pantalla del dispositivo infectado y pide un rescate de entre 100 y 300 dólares para poder desbloquearlo. El malware muestra un mensaje simulando proceder de un ente policial.
- Redirección a cualquiera de los sitios con ransomware en el navegador. El hub central verifica las siguientes condiciones a) el usuario pertenece a uno de los 30 países afectados, b) no es un usuario de Android y c) la solicitud no proviene de Internet Explorer. Si los tres supuestos son afirmativos aparece una pantalla de bloqueo, idéntica a la utilizada para los dispositivos móviles. En este caso no hay infección, sólo un pop-up que muestra una plantilla de bloqueo y pide el pago de la multa. Sin embargo, el usuario puede fácilmente evitar el bloqueo presionando la combinación de teclas alt + F4.
- La redirección a un sitio web que contiene el Angler Exploit Kit. Si el usuario utiliza Internet Explorer, la infraestructura de redirección utilizada en esta campaña envía al usuario a sitios que alojan el Angler Exploit Kit. Durante el análisis de Kaspersky Lab, el código de explotación era completamente funcional, pero esto puede cambiar.
