Червь Koler, новый вариант программ-вымогателей для устройств Android

Table Of Contents

• Последний вариант червя Koler — это последний программ-вымогатель для Android
• Механизм действия
• Удаление

Последний вариант червя Koler — это последний программ-вымогатель для Android

AdaptiveMobile обнаружила совершенно новый вариант червя Koler. Появление этого червя было зафиксировано AdaptiveMobile 19 октября 2014 года. Чем отличается этот новый вариант червя Koler, так это тем, что он теперь распространяется через SMS-сообщения и удерживает телефоны зараженных пользователей в заложниках, пока не будет выплачена выкуп.

AdaptiveMobile заявила, что последний вариант червя Koler очень активен в дикой природе и заблокировал тысячи сообщений от сотен зараженных смартфонов и планшетов на Android. AdaptiveMobile также обнаружила, что совершенно новый Koler распространяется по всему миру через SMS-сообщения, но большинство жертв, обнаруженных до сих пор, находятся в Соединенных Штатах. В блоге AdaptiveMobile говорится,

Koler — это вредоносное ПО, которое шантажирует пользователей зараженных телефонов, блокируя экран с пугающей поддельной страницей уведомления правоохранительных органов и пугает жертву, чтобы она заплатила «штраф» за разблокировку своего телефона. Этот тип вредоносного ПО впервые был замечен в мае этого года, шантажируя жертв на устройствах Android. В июле новые отчеты предположили новую версию, которая также может нацеливаться на ПК.

Механизм действия

Этот последний вариант Koler работает, отправляя SMS-сообщение с ссылкой bitly, в котором говорится, что был создан аккаунт с фотографиями пользователя. Bitly — это сервис сокращения URL, который отправляет пользователям сокращенные ссылки на URL-адреса. Он ранее использовался для подобных фишинговых атак из-за своей безобидной ссылки.

Атака начинается с того, что жертва получает SMS-сообщение с номера телефона кого-то, кого она знает, в котором говорится:

кто-то создал профиль с именем -Luca Pelliciari- и загрузил некоторые ваши фотографии! Это вы? https://bit.ly/xxxxxx

AdaptiveMobile говорит, что аналогичный механизм действия использовался в мошенничестве на Facebook в феврале этого года. Поэтому вполне возможно, что оба автора вредоносного ПО — это один и тот же человек или группа, или автор вредоносного ПО решил использовать этот текст, так как считал, что это хороший текст для «зацепления» ничего не подозревающих получателей сообщения, чтобы они кликнули по ссылке.

При нажатии на ссылку bitly потенциальная жертва перенаправляется на страницу Dropbox, где вредоносное ПО скрыто в приложении «PhotoViewer».

**

Как только оно будет нажато и установлено, вредоносное ПО блокирует экран пользователя поддельной страницей ФБР, которая говорит, что устройство было заблокировано из-за порнографического или другого неприемлемого контента. Пользователь может «отмахнуться от обвинений», заплатив штраф с помощью ваучера Money Pak.

AdaptiveMobile говорит, что это довольно переработанная версия Koler, ранние версии которого скрывались в основном на сайтах для взрослых и нацеливались на взрослых.

“Эта атака сочетает в себе техники, которые мы видели с червями, такими как Selfmite, с традиционной атакой программ-вымогателей для Android,” сказал Кэтал Макаид, глава отдела аналитики данных в AdaptiveMobile. “Распространение червя через SMS делает его более эффективным, так как люди с большей вероятностью отреагируют на ссылку, отправленную кем-то, кого они знают.”

Удаление

Прежде всего, пользователи должны проявлять осторожность и осмотрительность при установке любого приложения или неофициального APK. Подозрительные APK никогда не следует устанавливать.

Однако, если вы уже стали жертвой Koler, вы не должны авторизовывать никакие платежи. Вредоносное ПО можно удалить, перезагрузив смартфон и запустив его в «безопасном» режиме. В опции «безопасного режима» удалите приложение «PhotoViewer».

После его удаления ваше устройство Android должно восстановить свое первоначальное состояние, как и прежде.