DÉFINITION DU VIRUS

Également appelé : Trojan.AndroidOS.Koler.a.
Type de virus : ransomware (mobile)

De quoi s’agit-il ?

Koler est une partie cachée de la campagne malveillante qui a présenté au monde le ransomware mobile Koler « Police » pour les appareils Android en avril 2014. Cette partie comprend un ransomware basé dans le navigateur et un kit d’exploitation.

Ceux qui se dissimulent derrière les attaques ont employé une technique inhabituelle qui consiste à analyser les systèmes des victimes et à proposer un ransomware personnalisé en fonction de la localisation et du type d’appareil (mobile ou PC). L’infrastructure de redirection constitue l’étape suivante, après que la victime se soit rendue sur l’un des 48 sites Internet pornographiques malveillants utilisés par les opérateurs de Koler. L’utilisation d’un réseau pornographique pour ce ransomware n’est pas une coïncidence : les victimes sont davantage susceptibles de se sentir coupables de s’être rendues sur ce genre de site et de payer l’amende imposée par les soi-disant « autorités ».

Depuis le 23 juillet, la composante mobile de la campagne a été compromise. Le serveur de commande et de contrôle a commencé à envoyer des commandes « Désinstaller » aux victimes mobiles, ce qui a en effet permis de supprimer l’application malveillante. En revanche, pour les utilisateurs de PC, le reste des composantes malveillantes (kit d’exploitation compris) est toujours actif.

Le virus en détail

48 sites pornographiques redirigent les utilisateurs vers le hub central qui utilise le système de répartition du trafic Keitaro (TDS) pour les rediriger à nouveau. Selon le nombre de conditions, la deuxième redirection peut donner lieu à trois scénarios malveillants différents :

- Installation du ransomware mobile Koler. En cas d’engagement mobile, le site Internet redirige automatiquement l’utilisateur vers l’application malveillante. Mais l’utilisateur doit encore confirmer le téléchargement et l’installation de l’application (appelée animalporn.apk), qui s’avère être le ransomware Koler. Il verrouille l’écran de l’appareil infecté et demande une rançon comprise entre 100 et 300 dollars pour le déverrouiller. Le programme malveillant affiche un message localisé de la « police », pour que cela soit plus réaliste.

- Redirection vers l’un des sites Internet du ransomware basé dans le navigateur. Un contrôleur spécial vérifie les points suivants : (i) l’agent utilisateur provient de l’un des 30 pays affectés, (ii) il ne s’agit pas d’un utilisateur Android et (iii) la requête ne contient pas d’agent utilisateur Internet Explorer. Si la réponse à ces trois points est « oui », l’utilisateur voit un écran de verrouillage identique à celui utilisé pour les appareils mobiles. Il n’y a pas d’infection dans ce cas, juste un pop-up affichant un modèle de verrouillage. En revanche, l’utilisateur peut facilement éviter le verrouillage en appuyant sur alt+F4.

- Redirection vers un site Internet contenant le kit d’exploitation Angler. Si l’utilisateur utilise Internet Explorer, l’infrastructure de redirection utilisée dans cette campagne envoie l’utilisateur sur des sites qui hébergent le kit d’exploitation Angler, qui contient des vulnérabilités pour Silverlight, Adobe Flash et Java. Lors de l’analyse de Kaspersky Lab, le code d’exploitation était pleinement fonctionnel ; en revanche, il n’envoyait aucune charge utile, mais cela pourrait changer dans un futur proche.

Recommandations pour assurer sa protection

  • N’oubliez pas que vous ne recevrez jamais de messages de « rançon » officiels de la part de la police, donc ne payez jamais ;
  • N’installez aucune application que vous trouvez en naviguant sur Internet ;
  • Ne vous rendez pas sur des sites Internet non fiables ;
  • Utilisez une solution antivirus fiable.

Autres articles et liens en rapport avec le ransomware mobile Koler « Police »