Ransomware ataca masivamente a usuarios de Android

 

Fabián Calderón Cabezas

 

El malware Koler redirige a los visitantes de sitios pornográficos a una página web que contiene el paquete de ransomware, el cual debe ser instalado por el usuario. Una vez que la víctima lo instala, la pantalla de dispositivo se bloquea y aparece un mensaje falso de la policía exigiendo una multa de hasta US$300 para desbloquear el terminal, así lo explicó Kaspersky Lab.

 

Estos sitios pornográficos redirigen a los usuarios al concentrador que utiliza el Sistema de Distribución de Tráfico Keitaro (TDS) para redirigir nuevamente a los dueños de los dispositivos.

 

Con base en una serie de condiciones, esta segunda redirección puede conducir a tres diferentes escenarios maliciosos: la instalación del ransomware móvil Koler (pide instalar un programa y pide el dinero a cambio de desbloquear la pantalla) , redirección a cualquiera de los sitios web de ransomware del navegador (el virus revisa si es de los países afectados, si tiene un usuario de Android o internet, si no están las tres condiciones no será afectado) y redirección a un sitio web que contiene el kit de exploit Angler (Solo si utiliza internet explorer).

 

También puede leer: Encriptan archivos en dispositivos Android

 

Desde el 23 de julio el componente móvil de esta campaña se encuentra suspendido ya que el servidor de comando y control empezó a enviar el comando ‘Desinstalar’ a las víctimas dueñas de dispositivos móviles afectados. Sin embargo, el resto de los componentes maliciosos para los usuarios de PC – incluyendo el kit de exploit – siguen activos.

 

“Los atacantes pueden crear rápidamente infraestructuras similares gracias a la automatización total, cambiando la carga útil o dirigiéndose a usuarios diferentes. Los atacantes también han ideado una serie de formas para monetizar el ingreso de su campaña en un verdadero esquema multidispositivos” comentó Vicente Díaz, investigador Principal de Seguridad de Kaspersky Lab

 

Kaspersky Lab sigue vigilando el malware, el cual fue descrito por primera vez por un investigador de seguridad llamado Kaffeine

 

Puede ser de su interés: Android cada vez más popular entre los ciberdelincuentes

 

Cifras de afectación en los móviles

 

Entre los casi 200 mil visitantes al dominio de infección móvil desde el inicio de la campaña, la mayoría se encuentran en los Estados Unidos (80% – 146,650), seguidos por el Reino Unido (13,692), Australia (6,223), Canadá (5,573), Arabia Saudita (1,975) y Alemania (1,278). En Latinoamérica, Brasil, Ecuador y México son los países más afectados por este malware