Kaspersky Lab ha detectado una parte hasta ahora oculta de la campaña maliciosa que introdujo el ransomware móvil de la policía Koler para los dispositivos Android en abril de 2014. Esta parte incluye ransomware basado en navegador y un kit de explotación.
Así se ha informado desde la propia líder en seguridad informática, añadiendo además que desde el 23 de julio, el componente móvil de la campaña se ha visto alterado y el servidor de comando y control comenzó a enviar el comando ‘Desinstalar’ a las víctimas móviles, eliminando la aplicación maliciosa de los dispositivos; sin embargo, el resto de los componentes maliciosos para usuarios de PC -incluyendo el kit de explotación- siguen activos.
Ante esta situación, la gente de Kaspersky Lab se mantiene monitoreando este malware que fue detectado inicialmente por el investigador de seguridad “Kaffeine”.
¿Cómo marcha?
Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware encriptan los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
wikipedia.org
Explicaron fuentes de Kaspersky que los ciberdelincuentes se han valido de la ubicación y tipo de dispositivo -móvil o PC- de los usuarios para enviar el ransomware.
“Después de que la víctima visitara cualquiera de los más de 48 sitios web pornográficos maliciosos utilizados por los operadores de Koler, ésta era redirigida a un sistema de redirección de tráfico. El uso de una red pornográfica para la difusión de este malware no es casualidad, ya que las víctimas son más propensas a sentirse culpables tras navegar por este tipo de contenidos y a pagar la supuesta multa a las ‘autoridades’”.
Igualmente, se conoció que en la segunda redirección, la víctima podría caer en tres escenarios maliciosos diferentes; el primero, Instalación del ransomware móvil Koler; segundo, Redirección a cualquiera de los sitios con ransomware en el navegador; y tercero, La redirección a un sitio web que contiene el Angler Exploit Kit
Cifras de miedo
En lo que concierne a infecciones, la gente de Kaspersky ha reportado más de 200.000 usuarios que han visitado el dominio de infección móvil desde el comienzo de la campaña.
“La mayoría en los Estados Unidos (80% – 146.650), seguido del Reino Unido (13.692), Australia (6.223), Canadá (5.573), Arabia Saudita (1.975) y Alemania (1.278)”.
Kaspersky Lab ha compartido su análisis con Europol e Interpol, y actualmente está cooperando con las agencias del orden público para explorar las posibilidades de cierre de la infraestructura.
Sin duda, para alarmarse
Por su parte, Vicente Díaz, Principal Security Analyst de Kaspersky Lab, manifestó que uno de los puntos interesantes de esta campaña es su red de distribución.
“Decenas de sitios web generados automáticamente redirigen el tráfico a un eje central mediante un sistema de distribución de tráfico en el que los usuarios son nuevamente redirigidos”, apuntó el ejecutivo.
En ese sentido, Díaz advirtió lo bien organizada y peligrosa que es esta campaña. Por ello es la importancia de manteneros alertas, no creerse cualquier cosa en la red y más importante aún: Evitar la visita a webs extrañas y contar con protección en vuestros dispositivos.
Equipo de redacción de GizTab