Mensagens Enviadas para Diversos Países
O malware exibe uma mensagem que, supostamente, viria da polícia; ele personalizou mensagens para os seguintes países: Austrália, Áustria, Bélgica, Bolívia, Canadá, República Checa, Dinamarca, Equador, Finlândia, França, Hungria, Irlanda, Itália, Letônia, México, Holanda, Nova Zelândia, Noruega, Polônia, Portugal, Romênia, Eslováquia, Eslovênia, Espanha, Suécia, Suíça, Peru, Reino Unido e Estados Unidos. A partir do dia 23 de julho, a parte móvel dessa campanha foi interrompida, e o servidor de comando e controle começou a enviar um pedido de "Uninstall" para as vítimas.
Práticas de Ransomware e Kit Exploit "Angler"
Nesta postagem, ao invés de haver uma concentração no próprio aplicativo móvel - a equipe de pesquisas e análise global da Kaspersky Lab destacou alguns detalhes importantes no final - porque houve o intuito de visar a sua infra-estrutura de distribuição. Toda uma rede de sites de pornografia maliciosos, ligados a um sistema de direcionamento de tráfego que redireciona as vítimas para diferentes payloads é destinada não apenas aos dispositivos móveis. Isso inclui redirecionamentos para ransomware - browser-based e que parece tratar-se de uma rede distribuidora do kit exploit "Angler".
Os principais resultados encontrados, podem ser resumidos da seguinte forma:
Distribuição: TDS (Sistema de Distribuição de Tráfego)
Controlador principal: video-sartex.us (TDS Controller)
Sites pornográficos maliciosos (redirecionador): 49 domínios detectados
Kit exploits (sites): 700 + 200 + URLs (domínios)
Domínios screen-locked com base no navegador: 49 domínios detectados
Mobile infection domain: video-porno-gratuit.eu
Celular C2 Current: policemobile.biz.
Tráfego: quase 200 mil visitantes para o domínio móvel infectado
80% dos visitantes originários dos EUA
O uso de uma rede pornográfica para as investidas desse "police" ransomware não é nenhuma coincidência: as vítimas são muito mais propensas a se sentirem culpadas por navegar em busca de tal conteúdo e pagar a suposta multa, que de acordo com a prática cybercriminosa, estaria sendo cobrada por parte das autoridades. Este fator psicológico pode ser a enorme diferença entre o fracasso ou o sucesso de uma campanha dessa natureza. Tudo depende de como essa questão é trabalhada.
Com relação à aplicação móvel maliciosa, o Team Kaspersky Lab encontrou diferentes APKs, que apresentavam exatamente o mesmo comportamento. Alguns deles (ainda não distribuídos através desta rede maliciosa), possuem até nomes interessantes como PronHub.com.Apk, whatsapp.apk ou updateflash.apk. Isto sugere que os atacantes poderiam expandir a sua campanha em um futuro próximo.
Distribuição "Payload Mobile"
A infecção móvel entra em ação, a partir do momento em que o usuário visita sites pornográficos específicos, utilizando um dispositivo que esteja executando o sistema Android. Esses sites fazem parte da rede de distribuição que foi criada para esta campanha, e redirecionam as vítimas para uma página que contém um arquivo APK chamado animalporn.apk. Além disso, todos os sites pornográficos na campanha redirecionam seu tráfego para o mesmo servidor: hxxp: //video-porno-gratuit.eu. Este domínio hospeda o APK malicioso.
Quando visitado, o site automaticamente redireciona o usuário para o aplicativo malicioso. Na sequência, o usuário ainda precisa confirmar o download e o processo de instalação do aplicativo em seu dispositivo.
De acordo com a equipe da Kaspersky, foi possível obter as estatísticas que mostram a distribuição geográfica dos visitantes deste site malicioso:
E também de acordo com as mesmas estatísticas, também foi possível observar que esta campanha começou e chegou ao seu pico de atividade no mês de abril de 2014.
Redirectors: Rede de Sites Pornográficos
Os sites pornográficos da rede, não são sites comprometidos. Todos esses sites possuem a mesma aparência, têm a mesma infra-estrutura HTML e não fornecem o seu próprio material pornográfico. Nesse contexto, foram identificados um total de 48 domínios nesta rede de redirecionamento "porn". Além disso, quase todos os sites utilizados nesta infra-estrutura foram criados com a utilização do mesmo modelo - em muitos casos, usando modelos do site legítimo Tubewizardpro e Webloader para os recursos externos.
Carregamento de Conteúdo a Partir de Fontes Externas
Todo o conteúdo (principalmente vídeos e fotos), relacionados a esses sites pornográficos, é carregado a partir de fontes externas com o uso do Webloader. Basicamente, todos os sites pornográficos redirecionam para o domínio "controller" videosartex.us:
Em seguida, Videosartex.u executa um redirecionamento com base no parâmetro da URL, a referência, o agent user e a localização geográfica do IP do visitante. Se for constatado que o IP pertence a qualquer um dos 30 países afetados e o agent user pertencer a um dispositivo que esteja rodando o sistema Android, o visitante é redirecionado para o APK no video-porno-gratuit.eu. Em outros casos, o usuário é redirecionado tanto para um site pornográfico na rede, para um screen-locker ou a um kit exploit. Os atacantes usam Keitaro TDS (Sistema de Distribuição de Tráfego), para redirecionar os usuários.
Non-mobile Payloads
Durante a análise feita pela Kaspersky Mobile, foi possível perceber que alguns domínios mostraram ransomware com temas pop-ups para as vítimas non-mobiles. Esses servidores adicionais, são usados quando o controlador (videosartex), detecta as seguintes condições:
O request não contém nenhum agent user do Internet Explorer.
O request é de um dos 30 países afetados, mas não contém um agent user do Android.
Neste caso, a vítima é redireccionada para qualquer um dos sites de ransomware, enquanto que uma tela de bloqueio idêntica a que é utilizada para a investida em celulares, é apresentada no computador da vítima. Não há infecção, neste caso, mas apenas uma notificação pop-up que mostra um template blocking.
As imagens a seguir são exemplos de headers, que são usados nos ransomware pop-ups:
Exploit Kits
A infra-estrutura de redirecionamento que foi utilizada nesta campanha, continha uma surpresa final: os cybercriminosos por trás desse esquema redirecionavam os visitantes que usavam o navegador Internet Explorer, para sites de hospedagem do kit exploit Angler, que tem exploits para Silverlight, Adobe Flash e Java. Em face disso, os pesquisadores e analistas de segurança da empresa puderam detectar mais de 200 domínios que foram usados para hospedar este kit exploit. Durante todo o processo de análise, o código de exploração não foi totalmente funcional e eficiente para entregar toda a carga útil.
Considerações Executivas
Diante de tudo que foi visto em relação a essa campanha, as práticas de ransomware para dispositivos móveis apareceram em quase todas as listas de previsão para o ano de 2014. Dessa forma, a equipe concluiu que não estava lidando com as famílias mais avançadas de malware, como o perigoso Cryptolocker para Windows. O ransomware é bastante elementar, mas irritante o suficiente para desestabilizar suas vítimas. Além de tudo, o ponto alto de interesse é a rede de distribuição que foi utilizada nessa campanha.
Dezenas de sites gerados automaticamente redirecionaram o tráfego para um hub central, onde os usuários foram redirecionados novamente. Dependendo de uma série de condições, este segundo redirecionamento poderia ter o envolvimento de um aplicativo malicioso para a plataforma Android, para uma prática de ransomware browser-based ou para um site com o kit exploit Angler.
Organização das Campanhas Cybercriminosas e Intuito de Expansão Relacionado à Plataformas Alvo
No mais, a equipe da Kaspersky acredita que esta infra-estrutura analisada, demonstra o quão bem organizado e perigoso essas campanhas podem ser (os cybercriminosos estão se aperfeiçoando a cada dia e se tornando cada vez mais ousados e implementando malware com alto nível de sofisticação). Entretanto, elas não se limitam aos usuários do sistema Android.
Dessa maneira, os atacantes podem, rapidamente, criar uma ótima infra-estrutura similar ao processo total de automação, alterando o payload ou destinada a diferentes usuários. Esses mesmos atacantes também podem ter pensado em um grande número de possibilidades, todas elas para monetizar os seus esforços com esta campanha, em um esquema que, verdadeiramente, atinge vários dispositivos. Isso prova que eles não estão bitolados a atingir uma única plataforma.
Saiba Mais:
[1] Secure List http://securelist.com/blog/research/...ution-network/