تعريف الفيروس

يُطلق عليه كذلك: Trojan.AndroidOS.Koler.a. 
نوع الفيروس:  برنامج فدية (أجهزة محمولة)/p>

ما هو؟

إن Koler عبارة عن جزء خفي من الحملة الضارة التي قدمت  نوع الفيروس:  Koler "البوليسي" الخاص بالأجهزة المحمولة والمستهدِف لهواتف Android إلى العالم في أبريل 2014. ويتضمن هذا الجزء بعض برامج الفدية المستندة إلى المستعرض وإحدى حزم تعطيل الأمان.

وقد استخدم مَن هم وراء الهجمات مخططًا غير معتاد لفحص أنظمة الضحايا وتقديم برامج فدية مخصَّصة حسب موقع الجهاز ونوعه - جهاز محمول أو حاسوب شخصي. وتمثل البنية التحتية لإعادة التوجيه الخطوة التالية بعد زيارة الضحية لأي موقع من بين 48 موقعًا إباحيًا ضارًا على الأقل والتي يستخدمها مشغّلو برنامج Koler. ولم يكن استخدام الشبكة الإباحية لتمكين برنامج الفدية هذا من قبيل المصادفة: فمن المحتمل أن يشعر الضحايا بالذنب بسبب استعراض هذا المحتوى ومن ثَم يدفعون الغرامة المزعومة التي تفرضها "السلطات".

تم تعطيل المكوّن الخاص بالأجهزة المحمولة في الحملة منذ 23 يوليو، حيث بدأ خادم الأوامر والتحكم في إرسال أوامر "إلغاء تثبيت" إلى الضحايا أصحاب الأجهزة المحمولة، مما أدى إلى حذف التطبيق الضار بفاعلية. لكن لا تزال بقية المكونات الضارة الخاصة بمستخدمي الحواسيب الشخصية - بما فيها حزمة تعطيل الأمان - نشطةً.

تفاصيل الفيروس

يقوم 48 موقعًا إباحيًا بإعادة توجيه المستخدمين إلى المحور المركزي الذي يستخدم نظام توزيع حركات المرور Keitaro‏ (TDS) لإعادة توجيه المستخدمين مرة أخرى. وحسب عدد من الظروف، يمكن أن تؤدي إعادة التوجيه الثانية إلى ثلاثة سيناريوهات ضارة مختلفة: - تثبيت برنامج الفدية Koler للأجهزة المحمولة في حالة استخدام جهاز محمول، يقوم موقع الويب تلقائيًا بإعادة توجيه المستخدم إلى التطبيق الضار. لكن يجب أن يؤكّد المستخدم تنزيل التطبيق وتثبيته - يُسمى animalporn.apk - وهو في الحقيقة عبارة عن برنامج الفدية Koler. ويقوم بإقفال شاشة الجهاز المصاب ويطلب فدية تتراوح بين 100 دولار و300 دولار كي يقوم بفتحها. ويعرض البرنامج الضار رسالة مترجمة من "البوليس" مما يضفي عليها مزيدًا من الواقعية.

- إعادة التوجيه إلى أي من مواقع ويب برامج الفدية المستندة إلى المستعرض. يقوم جهاز تحكم خاص بالتحقق مما (i) إذا كان وكيل المستخدم موجودًا في أي من الدول الـ 30 التي أصابها البرنامج و(ii) إذا كان المستخدم ليس من ضمن مستخدمي Android و(iii) إذا كان الطلب لا يتضمن وكيل مستخدم لمستعرض Internet Explorer. فإذا تحققت الشروط الثلاثة، فسيرى المستخدم شاشة حظر تطابق الشاشة المستخدمة للأجهزة المحمولة. وفي هذه الحالة، لا توجد إصابة، وإنما إعلان منبثق يعرض قالب الحظر. لكن يمكن للمستخدم تجنّب الحظر بسهولة بمجرد الضغط على التركيبة alt+F4.

- إعادة التوجيه إلى موقع ويب يحتوي على حزمة تعطيل الأمان Angler Exploit Kit. إذا استخدم المستخدم المستعرض Internet Explorer، فستقوم البنية التحتية لإعادة التوجيه المستخدمَة في هذه الحملة بإرسال المستخدم إلى مواقع تستضيف حزمة Angler Exploit Kit، والتي تتضمن تعريفات تعطيل الأمان لكل من Silverlight وAdobe Flash وJava. أثناء تحليل Kaspersky Lab، وُجد أن التعليمة البرمجية لتعطيل الأمان كانت تعمل بكامل طاقتها؛ وبالرغم من ذلك، لم تنقل أي أحمال، لكن هذا قد يتغير في المستقبل القريب.

توصيات للحفاظ على الأمن

  • تذكّر أنك لن تحصل على رسالة "فدية" رسمية من الشرطة، ومن ثَم لا تقم أبدًا بدفعها؛
  • لا تقم بتثبيت أي تطبيق يصادفك أثناء الاستعراض؛
  • تجنّب زيارة مواقع الويب التي لا تثق فيها؛
  • استخدم حل مكافحة فيروسات موثوق به.

مقالات وروابط أخرى متعلقة ببرنامج الفدية Koler "البوليسي" للأجهزة المحمولة