Desvelando la red de distribución de ‘AndroidOS.Koler’

A principios de mayo de 2014, un investigador de seguridad que se hace llamar Kaffeine hizo la primera mención pública de Trojan.AndroidOS.Koler.a, un programa chantajista que bloquea la pantalla de los dispositivos infectados y exige un rescate de entre 100 $ y 300 $ para desbloquearla. No cifra ningún archivo ni hace ningún tipo de bloqueo avanzado del dispositivo aparte de bloquear su pantalla.

¡El programa malicioso muestra un mensaje de la policía!

Tiene mensajes personalizados para los siguientes países:

Australia
Austria
Bélgica
Bolivia
Canadá
República Checa
Dinamarca
Ecuador
Finlandia
Francia
Alemania
Hungría
Irlanda
Italia
Letonia
México
Países Bajos
Nueva Zelanda
Noruega
Polonia
Portugal
Rumania
Eslovaquia
Eslovenia
España
Suecia
Suiza
Turquía
Reino Unido
Estados Unidos

Desde el 23 de Julio, la parte de la campaña referente al componente móvil está desmantelada, ya que el servidor de control ha empezado a enviar ordenes de “desinstalar2 a todas las víctimas.

En este artículo, en vez de concentrarnos en la aplicación en sí – recalcaremos algunos detalles al final – queremos sacar a la luz su infraestructura de distribución. Toda una red de sitios web pornográficos maliciosos vinculados a un sistema de distribución de tráfico que redirige a las víctimas para que reciban diferentes ataques que no sólo afectan a los usuarios de teléfonos móviles, sino también a cualquier otro visitante. Eso incluye redirecciones a programas chantajistas a través del navegador y lo que creemos que es una red de distribución del kit de explotación “Angler”.

El siguiente diagrama ilustra la infraestructura que se está usando.

Este es un resumen de los descubrimientos principales:

  • Distribución:      TDS (Traffic Distribution System)
  • Controlador principal:      video-sartex.us (TDS Controller)
  • Sitios pornográficos maliciosos (redirector):      49 dominios detectados
  • Sitios web que distribuyen el exploit kit:      700+ URLs (200+ dominios)
  • Dominios de bloqueo de pantalla basados en el navegador:      49 dominios detectados
  • Dominio de infección de teléfonos móviles:      video-porno-gratuit.eu
  • C2 actual de teléfonos móviles:      policemobile.biz.
  • Tráfico: Casi 200.000 visitantes al dominio que infecta los teléfonos móviles
  • 80% de visitantes de Estados Unidos

Que este programa chantajista que se hace pasar por la policía use una red pornográfica no es cuestión de azar: es más probable que las víctimas que buscan este tipo de contenido se sientan culpables y dispuestas a pagar la multa a las autoridades. Este factor psicológico puede marcar la diferencia entre el éxito y el fracaso de una campaña maliciosa.

Respecto a la aplicación para teléfonos móviles, hemos encontrado diferentes archivos de Paquetes de Aplicaciones Android (APK) que se comportaban igual. Algunos de ellos (que aún no se han distribuido en esta red maliciosa) tienen nombres interesantes como Pronhub.com.Apk, whatsapp.apk o updateflash.apk.

Esto indica que los atacantes podrían expandir sus operaciones en un futuro cercano.

Distribución de las amenazas para teléfonos móviles

Se infecta a los usuarios de teléfonos móviles cuando visitan sitios web pornográficos específicos desde un dispositivo Android. Estos sitios forman parte de la red de distribución de esta operación y redirigen a las víctimas a una página que contiene un archivo APK llamado <b>animalporn.apk</b>.

Todos los sitios pornográficos de la operación redirigen su tráfico al mismo servidor: hxxp://video-porno-gratuit.eu. Este dominio alberga el APK malicioso.

Al visitarlo, el sitio web redirige al usuario de forma automática a la aplicación maliciosa. El usuario todavía debe confirmar que quiere descargar e instalar la aplicación en su dispositivo.

Conseguimos estadísticas que muestran la distribución geográfica de los visitantes de este sitio malicioso:

Las mismas estadísticas muestran que la operación comenzó y llegó a su punto máximo de actividad en abril 2014.

Redirectores: La red pornográfica maliciosa

Los sitios pornográficos de la red no son sitios comprometidos. Todos parecen similares, tienen la misma estructura HTML y no ofrecen su propio material pornográfico.

Identificamos un total de 48 dominios en esta red de sitios pornográficos.

Casi todos los sitios web que se usaron en esta infraestructura se crearon usando la misma plantilla: en muchos casos, siguiendo la del sitio legítimo Tubewizardpro y usando Webloader para obtener los recursos externos.

Todo el contenido (principalmente fotos y videos) de estos sitios se carga de fuentes externas usando Webloader.

En esencia, todos los sitios pornográficos redirigen al dominio “controlador” videosartex.us.

Después, Videosartex.us redirige al usuario según los parámetros en la URL, el referrer, el user agent y la ubicación geográfica de la IP del visitante.

Si la IP pertenece a cualquiera de los 30 países afectados y el cliente utiliza un dispositivo Android, se redirige al visitante al APK de video-porno-gratuit.eu.

En otros casos, se redirige al usuario a un sitio pornográfico de la red, a un bloqueador de pantalla mediante una ventana emergente del navegador o a un kit de explotación. Los atacantes usan el Sistema de Distribución de Tráfico (TDS) Keitaro para redirigir a los usuarios.

Amenazas no móviles

Durante nuestro análisis, nos dimos cuenta de que algunos dominios mostraban ventanas emergentes con programas chantajistas a los usuarios que no se conectaban desde teléfonos móviles. Estos servidores adicionales se emplean cuando el controlador (videosartex) detecta las siguientes dos condiciones:

  • La solicitud no contiene un cliente de Internet Explorer.
  • La solicitud proviene de uno de los 30 países afectados, pero no contiene un cliente de Android.

En este caso, se redirige a la víctima a cualquiera de los sitios chantajistas del navegador, mientras que se muestra en el ordenador de la víctima una pantalla de bloqueo idéntica a la que se usa para móviles. En este caso no hay ninguna infección, sólo una ventana emergente que muestra la plantilla de bloqueo.

Las siguientes imágenes son ejemplos de los encabezados utilizados en las ventanas emergentes del programa chantajista:



Kits de explotación

La infraestructura de redirección que se usó en la campaña tenía una sorpresa final: redirigía a los usuarios que usaban Internet Explorer a sitios que alojaban el kit de explotación Angler, que tiene exploits para Silverlight, Adobe Flash y Java.

A continuación se puede ver un ejemplo de esta redirección:

<html>
<head>
<meta http-equiv=”REFRESH” content=”1; URL=’hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php/'”>
<script type=”text/javascript”>window.location = “http://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php”;</script>
</head>
<body>
The Document has moved <a href=”hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php”>here</a>
</body>
</html>

Detectamos más de 200 dominios que se han estado usando para albergar este kit de explotación.

Durante nuestro análisis, el código del exploit no estaba del todo funcional y no entregó ninguna carga nociva.

Conclusiones

Los programas chantajistas para dispositivos móviles aparecieron en casi todas las listas de predicciones para 2014. En este caso no se trata de una de las familias más complejas, como es el caso de Cryptolocker para Windows. El programa es bastante básico, pero suficiente para molestar a su víctima.

Lo más interesante es la red de distribución que se usó en la operación. Decenas de sitios web generados automáticamente redirigen el tráfico a un foco central desde donde se vuelve a redirigir a los usuarios. Dependiendo de varias condiciones, la segunda vez se lo puede redirigir a una aplicación maliciosa de Android, a un programa chantajista mediante una ventana emergente en el navegador o a un sitio web con el kit de explotación Angler.

Creemos que esta infraestructura demuestra lo bien organizadas y peligrosas que son estas operaciones, que ahora están atacando a los usuarios de Android, aunque no son su único blanco. Los atacantes pueden crear una infraestructura similar con rapidez gracias a una automatización completa, cambiando el código malicioso que distribuyen o atacando a diferentes objetivos. Los atacantes también han pensado en varias maneras de ganar dinero con sus operaciones en un esquema que incluye varios tipos de dispositivos.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *