Android ransomware Koler sakriven u lažnoj aplikaciji PornHub

Mobilni telefoni, 27.06.2017, 01:00 AM

Američki korisnici koji su prošle nedelje posećivali pornografske sajtove nailazili su na reklame za lažnu aplikaciju PornHub koja sadrži verziju ransomwarea Koler.

Ovaj ransomware se pojavio 2014., kada su ljudi koji su stojali iza ransomwarea Reveton, koji je zaključavao ekran Windows računara odlučili da naprave ransomware za Android, koji je zatim reklamiran na ruskim hakerskim forumima.

Android verzija Revetona bila je jedna od najaktivnijih Android pretnji te 2014., koja je korišćena u brojnim kampanjama otkrivenim te godine, uključujući i kampanju u kojoj je korišćen SMS crv da bi se automatizovao i intenzivirao proces infekcije.

Zbog toga što je bio delo kriminalaca koji u napravili Reveton, Koler je pribegavao istim taktikama koje je koristio i njegov Windows kolega, čuven po tome što je zaključavao računare i prikazivao obaveštenja policije u kojima je od žrtava traženo da plate kaznu zbog gledanja pornografije.

Lukas Stefanko iz kompanije ESET otkrio je kampanju koja je u toku i u okviru koje se reklamira lažna aplikacija PornHub inficirana ransomwareom Koler, koji se širi preko pornografskih sajtova.

Korisnike koji dođu na ove sajtove treba prevariti da preuzmu lažnu PornHub aplikaciju da bi videli pornografski sadržaj koji su želeli da vide.

Korisnici koji su konfigurisali svoj Android tako da je omogućena instalacija aplikacija izvan Play prodavnice susrešće se sa ekranom u kome lažna aplikacija PornHub traži od njih dozvolu da nastavi proces instalacije ali ustvari će korisnikova dozvola dati aplikaciji administratorska prava. Ova metoda se zove clickjacking, i uobičajena je za današnje Android malvere. Koler je bio jedan od prvih Android ransomwarea koji je koristio ovu taktiku.

Kada ransomware dobije administratorska prava, on ih koristi za prikazivanje obaveštenja o otkupu preko celog ekrana. Jedini način da se ovo obaveštenje ukloni sa ekrana jeste pokretanje uređaja u Safe Mode, ukidanjem administratorskih prava ransomwareu, posle čega je moguće ukloniti lažnu PornHub aplikaciju.

Ranije verzije Kolera prikazivale su obaveštenja na različitim jezicima, u zavisnosti od lokacije korisnika. Ovog puta je obaveštenje samo na engleskom, i po svemu sudeći pre svega je napad usmeren na korisnike u SAD jer obaveštenje potpisuje FBI.