病毒定义
又名:Trojan.AndroidOS.Koler.a.
病毒类型:勒索软件(手机)
它是什么?
2014 年 4 月,一项恶意活动将 Koler “police”手机勒索软件传播给了全球各地的 Android 设备,而 Koler 是该恶意活动的一个隐秘部分。该部分包含了一些基于浏览器的勒索软件和一个漏洞利用套件。
那些攻击发起者采用了一个不常见的方案来扫描受害者的系统,并根据地点和设备类型(手机或个人电脑)给出定制的勒索软件。受害者在访问 Koler 操作者使用的至少 48 个恶意色情网站中的任意一个后,便会触发重定向框架。该勒索软件对色情网络的使用并非巧合:受害者很可能会因浏览此类内容而产生负罪感,并因而支付“当局”的所谓罚金。
自 7 月 23 日起,由于命令和控制服务器开始向手机受害者发送“卸载”命令,有效删除了该恶意应用程序,该活动的手机部分被成功中断。然而,该恶意活动中剩下的针对个人电脑用户的部分 — 包括漏洞利用套件 — 依然活跃着。
病毒详细信息
48 个色情网站会将用户重定向到其中心,再由该中心利用 Keitaro Traffic Distribution System (TDS) 再次对用户进行重定向。根据一系列条件,第二次重定向会导向三种不同的恶意场景:
- 安装 Koler 手机勒索软件。针对手机体验,该网站会自动将用户重定向到恶意应用程序。但此时仍需要用户确认下载并安装该名为 animalporn.apk,实为 Koler 勒索软件的应用程序。它会锁定受感染设备的屏幕,并要求支付 100 到 300 美元的赎金来解锁。该恶意软件会显示一条冒充“警察”的本地化消息,使之显得更加逼真。
- 重定向到任意一个浏览器勒索软件网站。一个特殊的控制器会检查 (i) 用户代理是否来自 30 个受影响的国家或地区之一;(ii) 用户是否并非Android用户;以及 (iii) 该请求是否不包含任何 Internet Explorer 用户代理。如果以上问题的回答都是肯定的,用户便会和上述手机设备用户一样,看到相同的锁定屏幕。在这种情况中,实际上并未发生感染,只是弹出了一个显示锁定屏幕的模板。用户只需要按下 alt+F4 组合键,就能轻易地避开该锁定攻击。
- 重定向到包含 Angler 漏洞利用套件的网站。如果用户使用的是 Internet Explorer,该活动中使用的重定向基础架构便会将用户发送到托管有 Angler 漏洞利用套件的网站,这些套件中包含了针对 Silverlight、Adobe Flash 和 Java 的漏洞利用程序。在卡巴斯基实验室展开分析期间,该漏洞利用代码处于完全生效的状态,不过尚未提供任何有效负载,但这一点在不远的将来可能就会发生变化。
安全建议
- 记住,您永远不会收到来自警方的官方“赎金”消息,所以不要付钱给他们;
- 不要安装任何在浏览时找到的应用程序;
- 不要访问您不信任的网站;
- 使用可靠的反病毒解决方案。