Worm Koler, a nova variante é um Ransomware para dispositivos Android

Table Of Contents

• A última variante do worm Koler é o mais recente ransomware Android
• Modo de Operação
• Remoção

A última variante do worm Koler é o mais recente ransomware Android

AdaptiveMobile detectou uma nova variante do worm Koler. A emergência deste worm foi detectada pela AdaptiveMobile em 19 de outubro de 2014. O que é diferente sobre esta nova variante do worm Koler é que agora se espalha através de mensagens de texto SMS e mantém os telefones dos usuários infectados como reféns até que um resgate seja pago.

AdaptiveMobile afirmou que a última variante do worm Koler está muito ativa na natureza e bloqueou milhares de mensagens de centenas de smartphones e tablets Android infectados. A AdaptiveMobile também detectou que o novo Koler estava se espalhando por todo o mundo através de mensagens SMS, mas a maioria das vítimas descobertas até agora estão nos Estados Unidos. O blog da AdaptiveMobile afirma,

Koler é um pedaço de malware que chantageia usuários de telefones infectados bloqueando a tela com uma página de notificação de aplicação da lei falsa e intimida a vítima a pagar uma “multa” para desbloquear seu telefone. Este tipo de malware foi avistado pela primeira vez em maio deste ano chantageando vítimas em dispositivos Android. Em julho, novos relatos sugeriram uma nova versão que também pode atacar PCs.

Modo de Operação

Esta última variante do Koler funciona enviando uma mensagem SMS com um link bitly afirmando que uma conta com as fotos do usuário foi criada. Bitly é um serviço de encurtamento de URL que envia links encurtados para os usuários para as URLs. Foi usado anteriormente para esse tipo de ataque de phishing devido ao seu link aparentemente inofensivo.

O ataque começa com a vítima recebendo uma mensagem SMS de um número de telefone de alguém que ela conhece, que afirma:

alguém fez um perfil chamado -Luca Pelliciari- e ele carregou algumas de suas fotos! é você? https://bit.ly/xxxxxx

AdaptiveMobile diz que um modo de operação semelhante foi usado no golpe do Facebook em fevereiro deste ano. Portanto, é bastante possível que ambos os autores de malware sejam a mesma pessoa ou grupo ou que o autor do malware decidiu usar este texto porque acreditava que era um bom conteúdo textual para ‘fisgar’ os receptores desavisados da mensagem a clicarem no link.

Ao clicar no link bitly, a potencial vítima é redirecionada para uma página do Dropbox onde o malware está escondido em um aplicativo “PhotoViewer”.

**

Uma vez que é clicado e instalado, o malware bloqueia a tela do usuário com uma página falsa do FBI, que diz que o dispositivo foi bloqueado devido a conteúdo pornográfico ou outro conteúdo inadequado. O usuário pode “afastar as acusações” pagando uma multa usando um Voucher Money Pak.

AdaptiveMobile diz que é uma versão bastante rehash do koler, cujas versões anteriores costumavam se esconder principalmente em sites NSFW e visavam adultos.

“Este ataque combina as técnicas que vimos com worms como Selfmite com um ataque tradicional de ransomware Android,” disse Cathal Mc Daid, Chefe de Inteligência de Dados e Análise da AdaptiveMobile. “Espalhar o worm por SMS torna-o mais eficaz, pois as pessoas são mais propensas a responder a um link enviado por alguém que conhecem.”

Remoção

Primeiro e acima de tudo, os usuários devem usar sua prudência e discrição ao instalar qualquer aplicativo ou APK não oficial. APKs suspeitos nunca devem ser instalados.

No entanto, se você já foi feito uma vítima pelo Koler, você não deve autorizar nenhum pagamento. O malware pode ser removido reiniciando seu smartphone e iniciando-o em ‘modo seguro’. A partir da opção ‘modo seguro’, desinstale o aplicativo ‘PhotoViewer’.

*Uma vez removido, seu dispositivo Android deve se restaurar ao seu estado original como antes.