A Kaspersky Lab fedezte fel a rejtett részét annak a rosszindulatú kampánynak, amely világszerte bevezette az androidos eszközökre készült Koler “rendőrségi” zsaroló programot 2014 áprilisában. Ez a rész egy böngésző alapú zsaroló programot (ransomware-t) és egy kihasználó eszközkészletet tartalmaz. 2014. július 23-a óta a kampány mobil komponensét már leállították: a vezérlő és parancs szerver elkezdett a rosszindulatú alkalmazást törlő “Uninstall” utasítást küldeni a megfertőzött mobil eszközöknek. Ugyanakkor a PC-kre írt többi rosszindulatú komponens – beleértve a kihasználó eszközkészletet – még mindig aktív.
Ezek a pornográf webhelyek átirányítják a felhasználókat a Keitaro Traffic Distribution System-et (TDS-t) használó központba, amely ismételten átirányítja őket. Több feltételtől függően ez a második átirányítás három különböző rosszindulatú forgatókönyv megvalósulását eredményezheti:
- A Koler mobil zsaroló program telepítése. Mobil eszközzel való látogatás esetén a webhely automatikusan a rosszindulatú alkalmazáshoz irányítja a felhasználót. Azonban a felhasználónak jóvá kell hagynia a valójában a Koler zsaroló programot tartalmazó app letöltését és telepítését. Ezt követően a ransomware blokkolja a megfertőzött eszköz képernyőjét, majd 100 és 300 dollár közé eső összegű váltságdíjat kér a blokkolás feloldásáért. A malware egy, a helyi “rendőrségtől” származó lokalizált üzenetet jelenít meg, hogy a követelést hitelesebbé tegye.
- Átirányítás más zsaroló webhelyekre. Egy speciális vezérlő program ellenőrzi, hogy a használt böngészőt az érintett 30 ország valamelyikének nyelvére állították-e be, valamint hogy a felhasználó nem Androidot használ, és azt, hogy a böngésző nem Internet Explorer. Ha mindhárom esetben igen a válasz, a felhasználó egy ugyanolyan blokkoló képernyőt fog látni, mint amit a mobil eszközökön használnak. Azonban ebben esetben nem történik fertőzés, és a felhasználó az Alt-F4 billentyűkombinációval egyszerűen kiléphet a blokkolásból.
- Átirányítás egy, az Angler kihasználó eszközkészletet tartalmazó webhelyre. Ha a felhasználó az Internet Explorert futtatja, akkor a kampányban használt átirányítási infrastruktúra a felhasználót az Angler-nek otthont adó webhelyek valamelyikéhez küldi, amely a Silverlight, az Adobe Flash és a Java sérülékenységeit használja ki.
Pánik helyett a felhasználóknak inkább a következő tanácsokat érdemes megfogadniuk:
- Ne felejtsék el, hogy sohasem fognak váltságdíjat követelő hivatalos üzeneteket kapni a rendőrségtől, ezért sose fizessenek;
- Ne telepítsenek böngészés közben semmilyen gyanús appot;
- Ne látogassanak meg olyan webhelyeket, amelyekben nem bíznak;
- Használjanak megbízható antivírus megoldást.