Fiese Erpresser-Software
29.07.2014, 04:11 Uhr
"Koler" infiziert Smartphones und PCs
Kaspersky Lab hat versteckte Komponenten der Koler „Polizei“-Erpresser-Software für Android-Geräte entdeckt. Die mobile Ransomware ist im April 2014 erstmals aufgetaucht.
Opfer aus 30 Ländern – darunter auch in Deutschland, Österreich und der Schweiz – sind von der gefährlichen Kampagne betroffen. Der bislang unentdeckte Teil beinhaltet einige Browser-basierte Ransomware-Programme sowie ein Exploit Kit (Programm zur Schwachstellen-Ausnutzung), das zusätzlich auf PCs zielt. Seit dem 23. Juli 2014 ist der mobile Teil der Kampagne ausser Kraft gesetzt, als zuvor über die Command-and-Control-Server (C&Cs) der Befehl „Deinstallieren“ an die mobilen Opfer gesendet und somit die gefährliche App gelöscht wurde. Die Komponenten für PC-Nutzer sind allerdings nach wie vor aktiv. Kaspersky Lab beobachtet das Koler-Schadprogramm weiter.
Die Hintermänner von Koler nutzen ein ausgefeiltes Schema: Im ersten Schritt werden die Systeme der Opfer gescannt und individuell angepasste Ransomware, abhängig vom Ort und vom Gerät (Smartphone oder PC), zum Einsatz gebracht. Nachdem ein Opfer eine der mindestens 48 von Koler genutzten Porno-Webseiten besucht hat, wird als weiterer Schritt eine Umleitung aktiv.
Dass für die Ransomware ein pornografisches Netzwerk verwendet wird, ist kein Zufall. Die Wahrscheinlichkeit ist gross, dass die Opfer aufgrund der Nutzung pornografischer Inhalte ein höheres Schuldgefühl haben, und daher eher geneigt sind, angebliche Bussgelder an eine vorgebliche „Behörde“ zu bezahlen.
Die Umleitungs-Infrastruktur, die auf den Pornoseiten ihren Anfang nimmt, leitet die Opfer zu einem zentralen Verteilpunkt, auf dem mithilfe des Keitaro Traffic Distribution Systems (TDS) das weitere Vorgehen organisiert. Anhand verschiedener Bedingungen führt die Umleitungs-Infrastruktur zu drei möglichen, gefährlichen Szenarien:
• Installation der mobilen Koler-Ransomware: Im Falle eines mobilen Zugriffs leitet die Webseite den Nutzer automatisch auf die gefährliche App. Der Nutzer muss den Download sowie die Installation der Koler-Ransomware-App namens animalporn.apk bestätigen. Das Programm blockiert anschliessend den Bildschirm des infizierten Geräts und fordert ein „Lösegeld“ zwischen 100 und 300 US-Dollar, damit das Gerät wieder entsperrt wird. Um noch realistischer zu wirken, zeigt die Malware eine auf das Land angepasste Nachricht, die angeblich im Namen der Polizei verschickt wurde.
Die Hintermänner von Koler nutzen ein ausgefeiltes Schema: Im ersten Schritt werden die Systeme der Opfer gescannt und individuell angepasste Ransomware, abhängig vom Ort und vom Gerät (Smartphone oder PC), zum Einsatz gebracht. Nachdem ein Opfer eine der mindestens 48 von Koler genutzten Porno-Webseiten besucht hat, wird als weiterer Schritt eine Umleitung aktiv.
Dass für die Ransomware ein pornografisches Netzwerk verwendet wird, ist kein Zufall. Die Wahrscheinlichkeit ist gross, dass die Opfer aufgrund der Nutzung pornografischer Inhalte ein höheres Schuldgefühl haben, und daher eher geneigt sind, angebliche Bussgelder an eine vorgebliche „Behörde“ zu bezahlen.
Die Umleitungs-Infrastruktur, die auf den Pornoseiten ihren Anfang nimmt, leitet die Opfer zu einem zentralen Verteilpunkt, auf dem mithilfe des Keitaro Traffic Distribution Systems (TDS) das weitere Vorgehen organisiert. Anhand verschiedener Bedingungen führt die Umleitungs-Infrastruktur zu drei möglichen, gefährlichen Szenarien:
• Installation der mobilen Koler-Ransomware: Im Falle eines mobilen Zugriffs leitet die Webseite den Nutzer automatisch auf die gefährliche App. Der Nutzer muss den Download sowie die Installation der Koler-Ransomware-App namens animalporn.apk bestätigen. Das Programm blockiert anschliessend den Bildschirm des infizierten Geräts und fordert ein „Lösegeld“ zwischen 100 und 300 US-Dollar, damit das Gerät wieder entsperrt wird. Um noch realistischer zu wirken, zeigt die Malware eine auf das Land angepasste Nachricht, die angeblich im Namen der Polizei verschickt wurde.
• Umleitung auf Browser-Ransomware-Webseiten: Eine spezielle Routine überprüft a) ob der Browser-Client einem der 30 betroffenen Länder zugeordnet werden kann; b) ob der Nutzer kein Android-Smartphone hat und c) ob die Anfrage nicht von einem Internet Explorer Browser stammt. Treffen alle drei Bedingungen zu, sieht der Nutzer einen geblockten Bildschirm – identisch zur mobilen Version. In diesem Fall findet allerdings keine Infizierung statt. Es wird lediglich ein Pop-up erzeugt, das den Bildschirm blockiert. Nutzer können dies mit einem einfachen Trick, der Tastenkombination „Alt“ und „F4“, umgehen.
• Weiterleitung zu einer Webseite, auf der sich das Angler Exploit Kit befindet: Verwendet ein Nutzer den Internet Explorer, leitet die bei der Kampagne eingesetzte Umleitungsinfrastruktur den Nutzer auf Seiten weiter, die das Angler Exploit Kit beherbergen. Angler enthält Exploits für die Ausnutzung von Schwachstellen in Silverlight, Adobe Flash und Java. Während der Analyse von Kaspersky Lab war der Exploit-Code voll funktionsfähig. Allerdings wurde kein Schadcode gesendet, was sich in naher Zukunft ändern dürfte.
„Das Interessante an dieser Kampagne ist das genutzte Verteilungsnetzwerk“, so Vicente Diaz, Principal Security Researcher bei Kaspersky Lab. „Dutzend automatisch generierte Webseiten leiten den Verkehr zu einem zentralen Hub um, der ein Traffic-Distribution-System nutzt, das die Nutzer wiederum weiterleitet. Diese Infrastruktur zeigt, wie gut organisiert und gefährlich diese Kampagne ist. Aufgrund der Automatismen, der Möglichkeit des Nachladens von Schadcode sowie den Attacken auf unterschiedliche Nutzer können die Angreifer schnell ähnliche Infrastrukturen erstellen. Zudem haben die Angreifer mehrere Wege vorgesehen, um aus ihrer Multi-Device-Kampagne Geld zu generieren.“
Android-Schädling Koler: Auch deutsche Nutzer werden erpresst
Fast 200.000 Nutzer mobiler Geräte waren seit Kampagnenbeginn betroffen. Die meisten davon stammen aus den USA (80 Prozent), gefolgt von Grossbritannien (13.692 Opfer), Australien (6.223 Opfer), Kanada (5.573 Opfer), Saudi Arabien (1.975 Opfer) sowie Deutschland (1.278).
Kaspersky Lab hat seine Befunde mit Europol und Interpol geteilt. Zudem kooperiert der IT-Sicherheitsexperte mit Strafverfolgungsbehörden, um eine mögliche Schliessung der Infrastruktur zu unterstützen.
Tipps für von Koler betroffene Nutzer
Opfer sollten folgende Tipps beachten:
• Seien Sie sich im Klaren darüber, dass Polizeibehörden nicht erpressen. Bezahlen Sie keine Lösegeldforderungen.
• Installieren Sie nicht jede App, die Ihnen beim Surfen vorgeschlagen wird.
• Besuchen Sie niemals Webseiten, denen Sie nicht vertrauen.
• Setzen Sie immer eine aktuelle Sicherheitslösung wie zum Beispiel Kaspersky Internet Security - Multi-Device ein.
Kaspersky Lab identifiziert die Ransomware als „Trojan.AndroidOS.Koler.a“
Ein technischer Blobeitrag zu Koler ist unter http://securelist.com/blog/research/65189/behind-the-android-os-koler-distribution-network/ abrufbar.