El ransomware de la “policía” muestra mensajes personalizados a víctimas de 30 países incluyendo Brasil, Ecuador y México; más de 200,000 víctimas se han registrado desde el inicio de la campaña

Kaspersky Lab ha descubierto una parte oculta de la campaña maliciosa Koler, un ransomware de la «policía» para dispositivos móviles Android que fue detectada en abril de 2014. Esta parte incluye un ransomware basado en el navegador de PC así como un kit de exploit.

Desde el 23 de julio el componente móvil de esta campaña se encuentra suspendido ya que el servidor de comando y control empezó a enviar el comando ‘Desinstalar’ a las víctimas dueñas de dispositivos móviles afectados. Sin embargo, el resto de los componentes maliciosos para los usuarios de PC – incluyendo el kit de exploit – siguen activos. Kaspersky Lab sigue vigilando el malware, el cual fue descrito por primera vez por un investigador de seguridad llamado Kaffeine.

Los cibercriminales detrás de estos ataques emplearon un esquema inusual para estafar a los sistemas de las víctimas y enviar mensajes de ransomware personalizados dependiendo de la ubicación y tipo de dispositivo – móvil o PC. La infraestructura de redirección ocurre una vez que la víctima visita uno de por lo menos 48 sitios pornográficos maliciosos utilizados por los operadores de Koler. El uso de una red pornográfica para este ransomware no es casual: las víctimas son más propensas a sentirse culpables por navegar en tales sitios y pagan la supuesta multa de las «autoridades».

Estos sitios pornográficos redirigen a los usuarios al concentrador que utiliza el Sistema de Distribución de Tráfico Keitaro (TDS) para redirigir nuevamente a los usuarios. Con base en una serie de condiciones, esta segunda redirección puede conducir a tres diferentes escenarios maliciosos:

– Instalación del ransomware móvil Koler. En el caso de una conexión móvil, el sitio web redirige automáticamente al usuario a la aplicación maliciosa. Pero el usuario todavía tiene que confirmar la descarga e instalación de la aplicación llamada animalporn.apk – que en realidad se trata del ransomware Koler. Al recibir la confirmación, el malware bloquea la pantalla del dispositivo infectado y pide un rescate de entre $100 y $300 para que se desbloquee. El malware muestra un mensaje de la «policía» local, por lo que es más realista.

– Redirección a cualquiera de los sitios web de ransomware del navegador. Un controlador especial comprueba que (i) el agente del usuario sea de uno de los 30 países afectados, (ii) el usuario no sea un usuario Android, y (iii) la solicitud no contenga un agente de usuario Internet Explorer. En caso de recibir una respuesta afirmativa a las tres preguntas, el usuario ve una pantalla de bloqueo idéntica a la utilizada para dispositivos móviles. En este caso, no hay infección, sólo una ventana emergente que muestra una plantilla de bloqueo. Sin embargo, el usuario puede fácilmente evitar el bloqueo con una simple combinación de alt+F4.

– Redirección a un sitio web que contiene el kit de exploit Angler. Si el usuario utiliza Internet Explorer, entonces la infraestructura de redirección que se utiliza en esta campaña envía al usuario a sitios que alojan el kit de exploit Angler, el cual tiene exploits para Silverlight, Adobe Flash y Java. Durante el análisis de Kaspersky Lab, el código de explotación fue completamente funcional, sin embargo, no envió ninguna carga útil, pero esto puede cambiar en el futuro cercano.

Al comentar acerca de los últimos descubrimientos de Koler, Vicente Díaz, Investigador Principal de Seguridad en Kaspersky Lab, dijo: «Lo que resulta más interesante es la red de distribución utilizada en la campaña. Decenas de sitios web generados automáticamente redirigen el tráfico a un concentrador mediante un sistema de distribución de tráfico donde los usuarios son redirigidos nuevamente. Creemos que esta infraestructura demuestra lo bien organizada y peligrosa que es esta campaña. Los atacantes pueden crear rápidamente infraestructuras similares gracias a la automatización total, cambiando la carga útil o dirigiéndose a usuarios diferentes. Los atacantes también han ideado una serie de formas para monetizar el ingreso de su campaña en un verdadero esquema multidispositivos».

Cifras de la carga útil para móviles
Entre los casi 200,000 visitantes al dominio de infección móvil desde el inicio de la campaña, la mayoría se encuentran en los Estados Unidos (80% – 146,650), seguidos por el Reino Unido (13,692), Australia (6,223), Canadá (5,573), Arabia Saudita (1,975) y Alemania (1,278). En Latinoamérica, Brasil, Ecuador y México son los países más afectados por este malware.

Consejos para los usuarios – cómo mantenerse seguros:
– Recuerde que nunca recibirá mensajes de «rescate» oficiales de la policía, por lo tanto nunca los pague.

– No instale ninguna aplicación que encuentre mientras navega.

– No visite sitios web en los que no confíe.

– Utilice una solución de antivirus fiable.

Kaspersky Lab detecta este ransomware como Trojan.AndroidOS.Koler.a.