El virus de la policía pasa de infectar móviles a PCs
Más de 200.000 usuarios han visitado el dominio móvil infectado desde el comienzo de la campaña en abril. Koler, más conocido como el ransomware móvil ‘de la policía, dispone de 30 mensajes personalizados en función del país de las víctimas.
La firma de seguridad Kaspersky tiene una buena y una mala noticia. La buena es que el componente móvil del ransomware Koler se ha visto alterado y el servidor ha comenzado a enviar el comando ‘Desinstalar’, eliminando la aplicación maliciosa de los dispositivos móviles. La mala es que el resto de los componentes maliciosos para usuarios de PC siguen activos.
Desde Kaspersky Lab señalan que lo que tiene mayor interés en este caso es la red de distribución utilizada. Los ciberdelincuentes han empleado un esquema inusual para escanear los sistemas de las víctimas y enviar ransomware personalizado en función de su ubicación y tipo de dispositivo (móvil o PC).
Así, después de que la víctima visitara cualquiera de los más de 48 sitios web pornográficos maliciosos creados por los operadores de Koler, ésta era redirigida a un sistema de redirección de tráfico. El uso de una red pornográfica para la difusión de este malware no es casualidad, ya que las víctimas son más propensas a sentirse culpables y a pagar la supuesta multa a las «autoridades».
Estos sitios pornográficos redirigen a los usuarios al hub central, que utiliza el sistema de distribución de tráfico Keitaro (TDS) para derivar a los visitantes a tres escenarios maliciosos diferentes.
El primer caso afecta a los usuarios de un dispositivo móvil, redirigiendo automáticamente a la aplicación maliciosa. Sin embargo, el usuario todavía tiene que confirmar la descarga e instalación de la aplicación, llamada animalporn.apk, que en realidad es el ransomware Koler. Éste bloquea la pantalla del dispositivo infectado y pide un rescate de entre 100 y 300 dólares para poder desbloquearlo. El malware muestra un mensaje simulando proceder de la “policía”, por lo que es más realista.
En el segundo supuesto les redireccionarán a cualquiera de los sitios con ransomware en el navegador. Eso sí, tiene que cumplir tres condiciones: debe estar en uno de los 30 países afectados (España incluida), no será usuario de Android y la solicitud no provendrá de Internet Explorer. Si las cumple, al usuario le aparece una pantalla de bloqueo, idéntica a la utilizada para los dispositivos móviles. Pero no habrá infección, sólo un pop-up que muestra una plantilla de bloqueo y pide el pago de la multa. Sin embargo, el usuario puede fácilmente evitar el bloqueo presionando la combinación de teclas alt + F4.
Finalmente, a aquellos usuarios que emplean como navegador Internet Explorer pueden ser rediccionados a un sitio web que contenga el Angler Exploit Kit, una herramienta utilizada por los delincuentes para buscar vulnerabilidades en Java y Flash Player y atacar los ordenadores.