2min Security

Mobiele ‘politie’ ransomware ook actief in Nederland

Mobiele ‘politie’ ransomware ook actief in Nederland

De Koler ‘politie’ mobiele ransomware, die in april van dit jaar ontdekt werd, blijkt een tot nu toe verborgen onderdeel te bevatten. Het gaat om browser-gebaseerde ransomware en een exploit kit in de kwaadaardige campagne die het ‘politievirus’ voor Android-apparaten introduceerde. De ransomware wordt geïnstalleerd na het bezoeken van een van de minimaal 48 pornowebsites waar Koler gebruik van maakt. Het gebruik van een pornografisch netwerk voor dit doel is geen toeval: slachtoffers voelen zich schuldig over het bezoeken van dergelijke websites en zijn sneller geneigd om het door de ‘autoriteiten’ vastgestelde bedrag te betalen. Dit meldt beveiligingsleverancier Kaspersky Lab.

Losgeld

De installatie van de Koler mobiele ransomware werkt als volgt: zodra een gebruiker een van de geselecteerde pornowebsites bezoekt via zijn mobiele apparaat, wordt hij automatisch doorgestuurd naar de kwaadaardige applicatie. De gebruiker moet dan nog wel de download en installatie van de app – genaamd animalporn.apk – bevestigen. Deze app is echter in feite de Koler ransomware, die vervolgens het scherm van het geïnfecteerde apparaat blokkeert en een bedrag van $100 tot $300 aan losgeld eist voordat het scherm gedeblokkeerd wordt. Om de eis realistischer te maken, toont de malware een gelokaliseerd bericht van de politie.

Mobiele slachtoffers

Sinds het begin van de campagne hebben reeds 200.000 gebruikers de besmette websites bezocht. Het merendeel daarvan bevindt zich in de VS (80%), gevolgd door het Verenigd Koninkrijk, Australië en Canada. Ook in Nederland en België bevinden zich bezoekers van deze websites.

Sinds 23 juli is het mobiele component van de campagne onderbroken, nadat de command and control server ‘Uninstall’ commando’s naar de mobiele slachtoffers begon te sturen, waarmee de kwaadaardige applicatie effectief verwijderd werd. De overige kwaadaardige componenten voor pc-gebruikers – inclusief de exploit kit – zijn echter nog steeds actief.