VİRÜS TANIMI

Diğer Adı: Trojan.AndroidOS.Koler.a.
Virüs Türü: Fidye yazılımı (mobil)

Nedir?

Koler, Nisan 2014'te dünyaya Android cihazlar için Koler "police" mobil fidye yazılımını yayan kötü amaçlı kampanyanın gizli bir parçasıydı. Bu parça, bazı tarayıcı tabanlı fidye yazılımlarını ve açıklardan yararlanma kitini içerir.

Saldırıların ardındakiler kurbanların sistemlerini tarayıp konuma ve cihaz türüne (mobil veya PC) göre özelleştirilmiş fidye yazılımları sunmak için olağandışı bir şema kullandılar. Kurban, Koler'in operatörleri tarafından kullanılan en az 48 kötü amaçlı web sitesinden birini ziyaret ettikten sonraki adım, yönlendirme altyapısıdır. Bu fidye yazılımı için porno ağının kullanımı tesadüfi değil: Kurbanların bu tür içeriklere göz atması nedeniyle kendilerini suçlu hissetmesi ve "yetkililerin" verdiği sözde cezayı ödeme olasılığı daha fazladır.

Komut ve kontrol sunucusu mobil kurbanlara "Kaldır" komutu göndererek kötü amaçlı uygulamayı etkili bir şekilde silmeye başladığından 23 Temmuz'dan bu yana kampanyanın mobil bileşeni sekteye uğradı. Ancak kötü amaçlı bileşenlerin açıklardan yararlanma kiti dahil olmak üzere PC kullanıcılarına yönelik diğer kısmı hala etkin.

Virüs Ayrıntıları

48 porno sitesi, kullanıcıları istediği sitelere tekrar yönlendirmek için önce Keitaro Trafik Dağıtım Sistemini (TDS) kullanan merkeze yönlendirir. Koşul sayısına bağlı olarak bu ikinci yönlendirme üç farklı kötü amaçlı senaryoya yol açabilir:

- Koler mobil fidye yazılımının yüklenmesi. Mobil etkileşim durumunda web sitesi kullanıcıyı otomatik olarak kötü amaçlı uygulamaya yönlendirir. Ancak kullanıcının yine de aslında Koler fidye yazılımı olan animalporn.apk uygulamasını indirip yüklemeyi onaylaması gerekir. Bu uygulama, virüslü bir cihazın ekranını engeller ve kilidi açmak için 100 ila 300 $ arası bir fidye ister. Kötü amaçlı yazılım, "polis"ten yerelleştirilmiş bir mesaj göstererek durumu daha gerçekçi hale getirir.

- Tarayıcı fidye yazılımı web sitelerine yönlendirme. Özel bir denetleyici; (i) kullanıcı aracısının etkilenen 30 ülkeden biri olup olmadığını, (ii) kullanıcının Android kullanıcısı olup olmadığını ve (iii) isteğin herhangi bir Internet Explorer kullanıcı aracısı içerip içermediğini kontrol eder. Bunların üçüne de evet cevabı verilirse kullanıcı mobil cihazlar için kullanılanla aynı engelleme ekranını görür. Bu durumda virüs bulaşmaz, sadece engelleme şablonunun gösterildiği bir açılır pencere görünür. Ancak kullanıcı basit bir alt+F4 kombinasyonuyla engellemeyi kolayca önleyebilir.

- Angler Açıklardan Yararlanma Kitini içeren bir web sitesine yönlendirme. Kullanıcı Internet Explorer kullanırsa bu kampanyada kullanılan yönlendirme altyapısı kullanıcıyı Silverlight, Adobe Flash ve Java açıklarından yararlanmayı içeren Angler Açıklardan Yararlanma Kitinin bulunduğu sitelere gönderir. Kaspersky Lab'in analizi sırasında açıklardan yararlanma kodu tam olarak işliyor ancak hiçbir veri yükü iletmiyordu. Tabii bu durum yakın gelecekte değişebilir.

Korunmanız için öneriler

  • Polisten asla resmi "fidye" mesajları almayacağınızı unutmayın. Bu nedenle bunları asla ödemeyin;
  • İnternette gezinirken bulduğunuz uygulamaları yüklemeyin;
  • Güvenmediğiniz web sitelerini ziyaret etmeyin;
  • Güvenilir bir antivirüs çözümü kullanın.

Koler "police" mobil fidye yazılımıyla ilgili diğer makaleler ve bağlantılar