Saltar al contenido principal
DEFINICIÓN DEL VIRUS

También llamado: Trojan.AndroidOS.Koler.a.
Tipo de virus: ransomware (móvil)

¿Cuál es?

Koler es una parte oculta de la campaña maliciosa que ha introducido el ransomware móvil "de la policía" Koler para los dispositivos Android en el mundo en abril de 2014. Esta parte incluye determinado ransomware basado en navegador y un kit de exploit.

Los responsables de los ataques emplean una combinación inusual para analizar los sistemas de las víctimas y propagar ransomware personalizado en función de la ubicación y del tipo de dispositivo, es decir, el móvil o el ordenador de sobremesa. La infraestructura de redireccionamiento es el siguiente paso, después de que una víctima visite cualquiera de los al menos 48 sitios web de porno maliciosos que utilizan los operadores de Koler. El uso de una red de pornografía para este ransomware no es ninguna coincidencia: las víctimas son más propensas a sentirse culpables por navegar en tales contenidos y pagan la presunta multa de las "autoridades".

Desde el 23 de julio, el componente móvil de la campaña se ha interrumpido, ya que el servidor de comando y control comenzó a enviar comandos de desinstalación a las víctimas de móviles, que efectivamente eliminaban la aplicación maliciosa. Sin embargo, el resto de los componentes maliciosos para usuarios de ordenadores de sobremesa, incluido el kit exploit, todavía están activos.

Detalles del virus

48 sitios de porno redireccionan a los usuarios al núcleo central que utiliza el sistema de distribución de tráfico de Keitaro (TDS, del inglés "Traffic Distribution System") para redirigir a los usuarios de nuevo. En función de varias condiciones, este segundo redireccionamiento puede dar lugar a tres diferentes escenarios maliciosos:

- Instalación del ransomware móvil Koler. En caso de que el móvil se vea comprometido, el sitio web redirige al usuario automáticamente a la aplicación maliciosa. Pero el usuario todavía tiene que confirmar la descarga y la instalación de la aplicación, llamada animalporn.apk, que en realidad es el ransomware Koler. Bloquea la pantalla de un dispositivo infectado y pide un rescate de entre 100 USD y 300 USD para desbloquearlo. El malware muestra un mensaje localizado de la "policía", lo que permite que sea aún más realista.

- Redirección a cualquiera de los sitios web de ransomware basado en navegador. Un controlador especial comprueba si (i) el agente de usuario es de uno de los 30 países afectados, (ii) el usuario no es un usuario de Android, y (iii) la solicitud no contiene ningún agente de usuario de Internet Explorer. Si la respuesta a las cuestiones es sí, el usuario ve una pantalla de bloqueo idéntica a la que se utiliza para los dispositivos móviles. En este caso no hay infección, solo una ventana emergente que muestra una plantilla de bloqueo. Sin embargo, el usuario puede evitar fácilmente el bloqueo con una simple combinación de teclas alt+F4.

- Redirección a un sitio web que contenga el kit de exploit Angler. Si el usuario utiliza Internet Explorer, entonces la infraestructura de redirección utilizada en esta campaña envía al usuario a sitios que alojan el kit de exploit Angler, que tiene exploits para Silverlight, Adobe Flash y Java. Durante el análisis de Kaspersky Lab, el código de exploit fue completamente funcional; sin embargo, no ofrecía ninguna carga, aunque esto podría cambiar en un futuro cercano.

Recomendaciones para mantenerte seguro

  • Recuerda que nunca recibirás mensajes de "rescate" oficiales de la policía, así que nunca los pagues.
  • No instales ninguna aplicación que encuentres mientras navegas.
  • No visites sitios de los que no te fías.
  • Utiliza un programa antivirus fiable.

Otros artículos y enlaces relacionados con Koler: el ransomware móvil "de la policía"

Koler: el ransomware móvil "de la policía"

¿Cuál es la amenaza de Koler, el ransomware móvil "de la policía", qué hace? ¿estás infectado? Descubre cómo mantenerte seguro online.
Kaspersky Logo