Security

Android-Trojaner Koler erpresst auch PC-Besitzer

Seit Ende Juli soll die Ransomware "Trojan.AndroidOS.Koler.a" von mobilen Geräten entfernt worden sein, doch Kaspersky hat nun unentdeckte Teile auf PCs gefunden.

30.07.2014, 15:01 Uhr
Datenaustausch© violetkaipa / Fotolia.com

Im Mai hat Kaspersky Lab erstmals von der Ransomware "Trojan.AndroidOS.Koler.a" berichtet, die als Trojaner auf ein Android-Smartphone kommt, dort den Startbildschirm sperrt und ein Lösegeld fordert. Seit Ende Juli soll sie dort entfernt worden sein, doch Kaspersky hat nun unentdeckte Teile auf PCs gefunden.

Drei Angriff-Strategien

Beim Besuch einer infizierten Website wird als erstes das System gescannt. Abhängig von Ort und Gerät (Smartphone oder PC) wird dann passende Ransomware heruntergeladen. Dafür werden die Opfer zu einem zentralen Verteilpunkt geleitet, auf dem mithilfe des Keitaro Traffic Distribution Systems (TDS) das weitere Vorgehen organisiert wird. Es gibt drei Szenarien:

1. Installation der mobilen Koler-Ransomware:

Im Falle eines mobilen Zugriffs leitet die Webseite den Nutzer automatisch auf die gefährliche App. Der Nutzer muss den Download sowie die Installation der Koler-Ransomware-App namens animalporn.apk bestätigen.

Das Programm blockiert anschließend den Bildschirm des infizierten Geräts und fordert ein "Lösegeld" zwischen 100 und 300 US-Dollar, damit das Gerät wieder entsperrt wird. Um noch realistischer zu wirken, zeigt die Malware eine auf das Land angepasste Nachricht, die angeblich im Namen der Polizei verschickt wurde.

2. Umleitung auf Browser-Ransomware-Webseiten:

Eine spezielle Routine überprüft a) ob der Browser-Client einem der 30 betroffenen Länder zugeordnet werden kann; b) ob der Nutzer kein Android-Smartphone hat und c) ob die Anfrage nicht von einem Internet Explorer Browser stammt. Treffen alle drei Bedingungen zu, sieht der Nutzer einen geblockten Bildschirm – identisch zur mobilen Version.

In diesem Fall findet allerdings keine Infizierung statt. Es wird lediglich ein Pop-up erzeugt, das den Bildschirm blockiert. Nutzer können dies mit einem einfachen Trick umgehen - einfach die Tastenkombination Alt+F4 drücken.

3. Weiterleitung zu einer Webseite mit Angler Exploit Kit:

Verwendet ein Nutzer den Internet Explorer, erfolgt eine Weiterleitung auf Seiten, die das Angler Exploit Kit beherbergen. Angler enthält Exploits für die Ausnutzung von Schwachstellen in Silverlight, Adobe Flash und Java. Der Exploit-Code war zwar voll funktionsfähig, Schadcode wurde aber noch nicht gesendet.

Die Ransomware "Trojan.AndroidOS.Koler.a" sollte eigentlich keine mobilen Geräte mehr infizieren. Seit dem 23. Juli wird über die Command-and-Control-Server (C&Cs) der Befehl "Deinstallieren" an die mobilen Opfer gesendet und somit die gefährliche App gelöscht. Die Komponenten für PC-Nutzer sind allerdings nach wie vor aktiv.

Geschädigte auch in Deutschland

Fast 200.000 mobile Geräte wurden bereits mit der Ransomware infiziert. Die meisten davon stammen aus den USA (80 Prozent), gefolgt von Großbritannien (13.692 Opfer), Australien (6.223 Opfer), Kanada (5.573 Opfer), Saudi Arabien (1.975 Opfer) sowie Deutschland (1.278).

(Peter Giesecke)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang