Worm Koler, la nuova variante è un ransomware per dispositivi Android

Table Of Contents

• L’ultima variante del worm Koler è il nuovo ransomware Android in circolazione
• Modus Operandi
• Rimozione

L’ultima variante del worm Koler è il nuovo ransomware Android in circolazione

AdaptiveMobile ha rilevato una nuova variante del worm Koler. L’emergere di questo worm è stato rilevato da AdaptiveMobile il 19 ottobre 2014. Ciò che è diverso in questa nuova variante del worm Koler è che ora si diffonde tramite SMS e tiene in ostaggio i telefoni degli utenti infetti fino al pagamento di un riscatto.

AdaptiveMobile ha dichiarato che l’ultima variante del worm Koler è molto attiva in natura e ha bloccato migliaia di messaggi provenienti da centinaia di smartphone e tablet Android infetti. AdaptiveMobile ha anche rilevato che il nuovo Koler si stava diffondendo in tutto il mondo tramite messaggi SMS, ma la maggior parte delle vittime scoperte finora si trova negli Stati Uniti. Il blog di AdaptiveMobile afferma,

Koler è un pezzo di malware che ricatta gli utenti dei telefoni infetti bloccando lo schermo con una pagina di notifica falsa delle forze dell’ordine, e spaventa la vittima per farle pagare una “multa” per sbloccare il proprio telefono. Questo tipo di malware è stato avvistato per la prima volta a maggio di quest’anno ricattando le vittime su dispositivi Android. A luglio nuovi rapporti hanno suggerito una nuova versione che può anche colpire i PC.

Modus Operandi

Questa ultima variante di Koler funziona inviando un messaggio SMS con un link bitly che afferma che è stato creato un account con le foto dell’utente. Bitly è un servizio di accorciamento URL che invia link accorciati agli utenti per gli URL. È stato utilizzato in precedenza per questo tipo di attacchi di phishing a causa del suo aspetto innocuo.

L’attacco inizia quando la vittima riceve un messaggio SMS da un numero di telefono di qualcuno che conosce, che afferma:

qualcuno ha creato un profilo chiamato -Luca Pelliciari- e ha caricato alcune delle tue foto! sei tu? https://bit.ly/xxxxxx

AdaptiveMobile afferma che un modus operandi simile è stato utilizzato nella truffa di Facebook a febbraio di quest’anno. Pertanto, è abbastanza possibile che entrambi gli autori del malware siano la stessa persona o gruppo, oppure l’autore del malware ha deciso di utilizzare questo testo poiché credeva che fosse un buon contenuto testuale per “agganciare” i destinatari ignari del messaggio a cliccare sul link.

Cliccando sul link bitly, la potenziale vittima viene reindirizzata a una pagina Dropbox dove il malware è nascosto in un’app “PhotoViewer”.

**

Una volta cliccato e installato, il malware blocca lo schermo dell’utente con una pagina falsa dell’FBI, che afferma che il dispositivo è stato bloccato a causa di contenuti pornografici o di altro tipo inappropriato. L’utente può “sventare le accuse” pagando una multa utilizzando un voucher Money Pak.

AdaptiveMobile afferma che è una versione piuttosto riciclata di Koler, le versioni precedenti delle quali si nascondevano principalmente in siti web NSFW e prendevano di mira gli adulti.

“Questo attacco combina le tecniche che abbiamo visto con worm come Selfmite con un attacco ransomware Android tradizionale,” ha affermato Cathal Mc Daid, Responsabile dell’Intelligence Dati e Analisi di AdaptiveMobile. “Diffondere il worm tramite SMS lo rende più efficace poiché le persone sono più propense a rispondere a un link inviato da qualcuno che conoscono.”

Rimozione

Prima di tutto, gli utenti dovrebbero usare la propria prudenza e discrezione durante l’installazione di qualsiasi app o APK non ufficiale. Gli APK sospetti non dovrebbero mai essere installati.

Tuttavia, se sei già stato vittima di Koler, non dovresti autorizzare alcun pagamento. Il malware può essere rimosso riavviando il proprio smartphone e avviandolo in modalità ‘sicura’. Dall’opzione ‘modalità sicura’ disinstalla l’app ‘PhotoViewer’.

Una volta rimossa, il tuo dispositivo Android dovrebbe ripristinarsi al suo stato originale come prima.