Peritajes & Peritos

De nuevo un troyano nos muestra un ejemplo de evolución, superación y supervivencia, en este caso, se trata del ransomware “Trojan.Koler.A” o “Kole Police”, comúnmente conocido como “el virus de la Policía” que está programado para bloquear las pantallas de los dispositivos Android mostrando un aviso legal simulando ser de la Policía o  Fuerzas de Seguridad y se ha de “pagar la multa” para desbloquear el dispositivo.

Este troyano ha sido analizado en detalle por la consultora de seguridad informática y antivirus Kaspersky Lab quien en Julio 2014 ha elaborado un magnífico informe que analiza en detalle este troyano.

Sobre este informe referenciamos los comentarios en este post y es consultable desde este enlace “Koler – The ‘Police’ ransomware for Android”

Hablamos de este troyano como un  ejemplo de superación y evolución porque, tal y como se explica en dicho informe, este malware se ha vuelto selectivo puesto que trabaja con información gestionada inteligentemente para infectar de una forma efectiva y además le permite proporcionar un baño de aparente credibilidad.

Desde el punto de vista del origen de la infección

Este malware cosecha sus víctimas en origen desde redes de servidores de pornografía, por lo que la victima supuestamente ha visitado (intencionada o accidentalmente) páginas webs pornográficas o afines.  Se ha identificado como el iniciador de la infección una aplicación informática que aparentemente es un reproductor de video para acceder a pornografía “premium” y que se descarga automáticamente.

Se han detectado 48 dominios (apéndice I) que direccionan a una serie de servidores (página 23) donde se produce la infección final.

Este origen procedente de las redes de servicios o sitios de pornografía hace que cuando el mensaje de bloqueo se manifiesta, exista inconscientemente un cierto sentimiento de culpabilidad por haber realizado, quizás, algo moralmente reprochable por las personas de su entorno personal, familiar o laboral.

Desde el punto de vista del mensaje mostrado

Este malware es capaz de detectar el país donde está operando el dispositivo por medio del análisis de su Dirección IP. Se han identificado un total de 30 países (página 3) por lo que el mensaje de bloqueo que aparece es mucho más convincente puesto que el idioma, la imagen y la apariencia es totalmente personalizada para cada país (páginas 10 y 27), tanto para los dispositivos Android como para la versión en navegador, dándole un baño de aparente credibilidad.

Asimismo, el mensaje muestra acusaciones graves como por ejemplo, haber visitado pornografía infantil o violaciones de la propiedad intelectual que, aunque no son ciertas, hace que el mensaje contenga una mayor presión y carga psicológica.

En ocasiones, para agravar más la situación de angustia, en el mensaje se expresa que se han encriptado la información del dispositivo, en principio de momento, esto no es cierto puesto que el daño se limita al bloqueo de la pantalla pero no cabe duda que el mensaje aumenta el dramatismo de la situación.

Desde el punto de vista de la selectividad de la infección

Cuando se visita un dominio infectado, el dispositivo de la víctima es dirigido para ser definitivamente infectado a un servidor diferenciado dependiendo del tipo de dispositivo o de la forma de acceso, cambiando con ello el modo de llevar a cabo la infección adecuada al mismo.

Su forma de operar es que en un inicio de la infección detecta el modo de acceso (navegación) de la víctima y decide si la infección se ha de realizar por medio de la versión para Android, o aplicar la versión por navegador o la versión especial para Internet Explorer usando el exploit Angler (página 14).

Su efectividad es alta y en la fecha de elaboración del informe (Julio 2014) se han detectado aproximadamente unas 200 mil infecciones centradas básicamente en los países de habla anglosajona: EEUU, Reino Unido, Australia (página 32) aunque es sólo cuestión de tiempo que se extienda masivamente al resto de países.

Como siempre la mejor prevención en estos casos es la aplicación del sentido común, ser selectivo con aquello que se instala en los dispositivos y no fiarse mucho de lo que te ofrezcan con total gratuidad en páginas no seguras.


Por Rafael López Rivera, Vicepresidente de la ACPJT y de APTAN, socio fundador de ANCITE y owner de PERITOIT