Описание вредоносного ПО

AndroidOS.Koler демонстрирует разветвленную схему заражения пользователей

Полная версия исследования (PDF англ.) 

В начале мая 2014 г. исследователь интернет-безопасности под ником Kaffeine в первый раз публично упомянул Trojan.AndroidOS.Koler.a – программу-вымогатель, которая блокирует экран зараженного устройства и требует выкуп от 100 до 300 долларов за разблокирование. Зловред не шифрует файлы и не выполняет никакого дальнейшего блокирования устройства – только блокирует экран.

Вредоносная программа выводит на экран устройства локализованное сообщение от полиции:

Сообщения локализованы для следующих стран:

Австралия
Австрия
Бельгия
Боливия
Великобритания
Венгрия
Германия
Дания
Ирландия
Испания
Италия
Канада
Латвия
Мексика
Нидерланды
Новая Зеландия
Норвегия
Польша
Португалия
Румыния
Словакия
Словения
США
Турция
Финляндия
Франция
Швеция
Швейцария
Чехия
Эквадор

По состоянию на 23 июля мобильная составляющая кампании не действует, и командный сервер начал рассылку пользователям запроса «Uninstall» (удаление).

Некоторые подробности о самом зловреде приведены здесь. Этот же пост мы посвятим инфраструктуре распространения вредоносного ПО. Она состоит из целой сети вредоносных порносайтов, сопряженных с системой переадресации трафика, которая перенаправляет жертву на сайты с вредоносным контентом, нацеленным не только на мобильные, но и на любые другие устройства. Переадресация идет в том числе на браузерные вымогатели и, как нам представляется, на сеть распространения набора эксплойтов Angler.

Схема используемой инфраструктуры представлена ниже.

Краткое описание наших находок:

  • Сеть распространения:      TDS (система распределения трафика)
  • Основной контроллер:      video-sartex.us (TDS Controller)
  • Вредоносные порносайты (перенаправление):      обнаружено 49 доменов
  • Веб-сайты с наборами эксплойтов:      более 700 URL-ссылок (более 200 доменов)
  • Домены блокировщиков экрана на основе браузеров:      обнаружено 49 доменов
  • Домен заражения мобильных устройств:      video-porno-gratuit.eu
  • Текущий командный сервер для мобильных устройств:      policemobile.biz.
  • Трафик: почти 200 000 посещений домена для заражения мобильных устройств
  • 80% пользователей – из США

Неслучайно, что для распространения этого «полицейского» вымогателя используется сеть порносайтов: пользователи, посещающие подобные страницы, с большей вероятностью будут испытывать чувство вины за это и заплатят «штраф», якобы выставленный компетентными органами. Этот психологический фактор может быть определяющим в том, окажется ли мошенническая кампания успешной или провалится.

Что касается вредоносного мобильного приложения, то мы обнаружили другие APK-файлы, которые ведут себя так же. Некоторые из них (пока не распространяемые через эту вредоносную сеть) имеют примечательные названия: PronHub.com.Apk, whatsapp.apk, updateflash.apk.

Из этого можно предположить, что в ближайшем будущем злоумышленники могут расширить свою мошенническую кампанию.

Заражение мобильных устройств

Заражение мобильного устройства начинается в тот момент, когда пользователь посещает с Android-устройства определенные порнографические сайты, которые являются частью распространительной сети, созданной для данной кампании. С этих сайтов пользователя перенаправляют на страницу, содержащую APK-файл animalporn.apk.

Со всех порносайтов, участвующих в кампании, трафик перенаправляется на один и тот же сервер: hxxp://video-porno-gratuit.eu. На этом домене и размещается указанный вредоносный APK-файл.

При посещении веб-сайт автоматически перенаправляет пользователя на вредоносное приложение. Кроме того, от пользователя требуется подтвердить загрузку и установку приложения на устройстве.

Нам удалось получить статистику, которая отражает географическое распределение пользователей, посещающих этот вредоносный сайт:

Из этой же статистики видно, что кампания началась и достигла пиковых показателей в апреле 2014г.

Перенаправляющие сайты: сеть вредоносных порносайтов

Порнографические сайты, входящие в эту сеть, не являются взломанными. Все они выглядят одинаково, меют одну и ту же HTML-инфраструктуру и не предоставляют свой собственный порноконтент.

В сети переадресующих порносайтов всего мы обнаружили 48 доменов.

Почти все веб-сайты, использованные в данной инфраструктуре, созданы по единому образцу: во многих случаях использованы готовые шаблоны с легитимного сайта Tubewizardpro, для внешних ресурсов используется Webloader.

Весь контент (большей частью видеоролики и картинки) на этих порносайтах загружается из внешних источников при помощи Webloader.

По сути все порносайты содержат перенаправления на «контролирующий» домен videosartex.us.

Затем videosartex.us выполняет перенаправление в зависимости от параметра в URL-ссылке, самой ссылки, пользовательского агента и географического положения IP-адреса пользователя.

Если IP-адрес принадлежит любой из 30 стран из вышеупомянутого списка и пользовательский агент принадлежит Android-устройству, пользователь перенаправляется на APK-файл на сайте video-porno-gratuit.eu.

В остальных случаях пользователя перенаправляют либо на порносайт, входящий в сеть, либо на блокировщик экрана, либо на набор эксплойтов. Для переадресации пользователей злоумышленники используют систему распределения трафика Keitaro TDS.

Заражение немобильных устройств

В ходе исследования мы заметили, что некоторые домены демонстрировали всплывающие окна с «вымогательной» тематикой пользователям немобильных устройств. Эти дополнительные серверы используются в тех случаях, когда контроллер (videosartex) распознаёт следующие два условия:

  • Запрос не содержит пользовательского агента Internet Explorer
  • Запрос приходит из одной из 30 стран  вышеуказанного списка, но не содержит пользовательского агента Android.

В данном случае пользователя перенаправляют на любой из веб-сайтов браузерных вымогателей, а пользователю демонстрируется экран блокировки, идентичный тому, что показывается при заражении мобильных устройств. В этом случае заражения не происходит, лишь демонстрируется всплывающее окно с шаблоном блокирующей страницы.

Вот примеры шапок всплывающих окон программ-вымогателей:



Наборы эксплойтов

Инфраструктура, используемая в этой кампании для переадресации пользователей, содержала ещё один сюрприз: пользователи, использующие Internet Explorer, перенаправлялись на сайты, на которых размещался набор эксплойтов Angler, содержащий эксплойты для Silverlight, Adobe Flash и Java.

Вот пример такого перенаправления:

Мы обнаружили более 200 доменов, на которых размещался этот набор эксплойтов. На момент исследования использовался не весь функционал, и эксплойты не выполняли каких-либо вредоносных действий.

Выводы

Программы-вымогатели для мобильных устройств упоминались чуть ли не в каждом списке прогнозов на 2014 г. В данном случае мы имеем дело не с самым продвинутым типом вредоносного ПО (в качестве примера продвинутого вымогателя можно привести cryptolocker для Windows). Эти вымогатели довольно примитивны, но вполне способны досаждать пользователям.

Во всей этой истории наибольший интерес представляет задействованная сеть распространения вредоносного ПО. Трафик с десятков автоматически сгенерированных веб-сайтов перенаправляется на центральный «контролирующий» сайт, с которого пользователи перенаправляются дальше. В зависимости от ряда условий вторая переадресация может происходить на вредоносное Anroid-приложение, на браузерную программу-вымогатель или на веб-сайт, содержащий набор эксплойтов Angler.

По нашему мнению, такая инфраструктура демонстрирует, насколько хорошо организованы и насколько опасны эти кампании, в настоящее время направленные на пользователей Android-устройств, но отнюдь этим не ограничивающиеся. Благодаря полной автоматизации процесса атакующая сторона может быстро создать аналогичную инфраструктуру, заменив при этом вредоносный контент или взяв на мушку другую категорию пользователей. Злоумышленники также придумали ряд способов монетизации прибыли от данной кампании в рамках по-настоящему многоплатформенной схемы.

AndroidOS.Koler демонстрирует разветвленную схему заражения пользователей

Ответить

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Cancel

  1. Eurokill 40

    Я бы только спасибо сказал, если бы мой смартфон заблокировали
    Вернулся бы к обычной мобиле с кнопками — она легче, звонить удобнее, дольше держит заряд (намного), и потерять не жалко (рекурсия:)

  2. Любовь

    Очень нужная и полезная информация! Конечно, не все технические моменты понятны, по причине отсутствия специальных знаний, но общая тематика понятна. Кто предупрежден. тот вооружен.Спасибо!

  3. Gaud

    Почему все так любят почту @hotmail.com?

  4. АНДРЕЙ

    мой комп неоднократно подвергался описанной здесь переадресации с последующей блокировкой. спастись от действия блокировки получается. а вот найти вирус который так хозяйничает в моем компе не получается. проверял комп разными антивирусными программами, безрезультатно…. Был бы признателен за помощь в выявлении данного вируса.

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике