fiese App erpresst Android Nutzer (Polizei-Erpresser-Software)

Kaspersky hat versteckte Komponenten der Koller-App „Polizei-Erpresser“ – Software für Android Geräte entdeckt. Auch Bitdefener warnt eindringlich vor dieser „Erpresser-App“ die es auf Android Smartphones und Tablets abgesehen hat

Der auf den Namen Android.Trojan.Koler.A getaufte Virus übernimmt die Kontrolle über das Smartphone und fordert den Inhaber auf, 300 US Dollar zu zahlen um das Handy wieder frei zu geben.

Erpresser App Kolar Virus für Android

Kolar Virus Erpresser App Android

Die Hinweise die auf dem Display erscheinen, gaukeln dem Benutzer vor die Warnung wäre angeblich von einer lokalen Strafbehörde wie Polizei, Bundesamt für Sicherheit /BSI usw. Über die Ortungsfunktion des Handys ist dem Expresser-Virus Kolar,  auch der Standort des Smartphones bekannt und sorgt dafür das dieser auch in der „richtigen Sprache“ angezeigt wird.

deutsche Nutzer auch betroffen

Android Erpresser Kolar

Android Trojaner koler

In Deutschland erscheint so eine Warnng vom BSI (Bundesamt für Sicherheit) und es wird oftmal ein Foto mit einem bösen Blick unserer Bundeskanzlerin angezeigt.

Diese mobile „ransom software“ ist erstmals im April 2014 aufgetaucht und verbereitet sich in mehr als 30 Länder, darunter auch Deutschlan, Schweiz und Österreich

Die Hintermänner von Koler nutzen ein ausgefeiltes Schema: Im ersten Schritt werden die Systeme der Opfer gescannt und individuell angepasste Ransomware, abhängig vom Ort und vom Gerät (Smartphone oder PC), zum Einsatz gebracht. Nachdem ein Opfer eine der mindestens 48 von Koler genutzten Porno-Webseiten besucht hat, wird als weiterer Schritt eine Umleitung aktiv.

Dass für die Ransomware ein pornografisches Netzwerk verwendet wird, ist kein Zufall. Die Wahrscheinlichkeit ist groß, dass die Opfer aufgrund der Nutzung pornografischer Inhalte ein höheres Schuldgefühl haben, und daher eher geneigt sind, angebliche Bußgelder an eine vorgebliche „Behörde“ zu bezahlen.

Die Umleitungs-Infrastruktur, die auf den Pornoseiten ihren Anfang nimmt, leitet die Opfer zu einem zentralen Verteilpunkt, auf dem mithilfe des Keitaro Traffic Distribution Systems (TDS) das weitere Vorgehen organisiert. Anhand verschiedener Bedingungen führt die Umleitungs-Infrastruktur zu drei möglichen, gefährlichen Szenarien:

  • Installation der mobilen Koler-Ransomware: Im Falle eines mobilen Zugriffs leitet die Webseite den Nutzer automatisch auf die gefährliche App. Der Nutzer muss den Download sowie die Installation der Koler-Ransomware-App namens animalporn.apk bestätigen. Das Programm blockiert anschließend den Bildschirm des infizierten Geräts und fordert ein „Lösegeld“ zwischen 100 und 300 US-Dollar, damit das Gerät wieder entsperrt wird. Um noch realistischer zu wirken, zeigt die Malware eine auf das Land angepasste Nachricht, die angeblich im Namen der Polizei verschickt wurde.
  • Umleitung auf Browser-Ransomware-Webseiten: Eine spezielle Routine überprüft a) ob der Browser-Client einem der 30 betroffenen Länder zugeordnet werden kann; b) ob der Nutzer kein Android-Smartphone hat und c) ob die Anfrage nicht von einem Internet Explorer Browser stammt. Treffen alle drei Bedingungen zu, sieht der Nutzer einen geblockten Bildschirm – identisch zur mobilen Version. In diesem Fall findet allerdings keine Infizierung statt. Es wird lediglich ein Pop-up erzeugt, das den Bildschirm blockiert. Nutzer können dies mit einem einfachen Trick, der Tastenkombination „Alt“ und „F4“, umgehen.
  • Weiterleitung zu einer Webseite, auf der sich das Angler Exploit Kit befindet: Verwendet ein Nutzer den Internet Explorer, leitet die bei der Kampagne eingesetzte Umleitungsinfrastruktur den Nutzer auf Seiten weiter, die das Angler Exploit Kit beherbergen. Angler enthält Exploits für die Ausnutzung von Schwachstellen in Silverlight, Adobe Flash und Java. Während der Analyse von Kaspersky Lab war der Exploit-Code voll funktionsfähig. Allerdings wurde kein Schadcode gesendet, was sich in naher Zukunft ändern dürfte.

„Das Interessante an dieser Kampagne ist das genutzte Verteilungsnetzwerk“, so Vicente Diaz, Principal Security Researcher bei Kaspersky Lab. „Dutzend automatisch generierte Webseiten leiten den Verkehr zu einem zentralen Hub um, der ein Traffic-Distribution-System nutzt, das die Nutzer wiederum weiterleitet.
Diese Infrastruktur zeigt, wie gut organisiert und gefährlich diese Kampagne ist. Aufgrund der Automatismen, der Möglichkeit des Nachladens von Schadcode sowie den Attacken auf unterschiedliche Nutzer können die Angreifer schnell ähnliche Infrastrukturen erstellen. Zudem haben die Angreifer mehrere Wege vorgesehen, um aus ihrer Multi-Device-Kampagne Geld zu generieren.“

Android-Schädling Koler: Auch deutsche Nutzer werden erpresst

Fast 200.000 Nutzer mobiler Geräte waren seit Kampagnenbeginn betroffen. Die meisten davon stammen aus den USA (80 Prozent), gefolgt von Großbritannien (13.692 Opfer), Australien (6.223 Opfer), Kanada (5.573 Opfer), Saudi Arabien (1.975 Opfer) sowie Deutschland (1.278).

Kaspersky Lab hat seine Befunde mit Europol und Interpol geteilt. Zudem kooperiert der IT-Sicherheitsexperte mit Strafverfolgungsbehörden, um eine mögliche Schließung der Infrastruktur zu unterstützen.

Android Erpresser Kolar

Tipps für von Koler betroffene Nutzer

Opfer sollten folgende Tipps beachten:

  • Bezahlen Sie keine Lösegeldforderungen- Polizeibehörden oder ähnliches Institutionen erpressen Sie nichtt
  • Installieren Sie nicht jede App, die Ihnen im Internet  vorgeschlagen wird.
  • Besuchen Sie niemals Webseiten, denen Sie nicht vertrauen.
  • Setzen Sie immer eine aktuelle Sicherheitslösung wie zum Beispiel Kaspersky Internet Security – Multi-Device ein.

Kaspersky Lab identifiziert die Ransomware als „Trojan.AndroidOS.Koler.a“

Generell empfiehlt es sich, keine Apps aus unbekannten Quellen zu installieren. So ist Android auch standardmäßig konfiguriert. Ein eventuell bei „Unbekannte Herkunft“ gesetztes Häkchen in den Einstellungen unter Sicherheit und Geräteverwaltung sollte also lieber entfernt werden.
Bereits in der Vergangenheit wurden Windows-Nutzer Opfer solcher „Polizei-Virus-Attacken“. Auch die Android-App Koler.A soll aus dem Umfeld der Reveton-Gruppe stammen, die derartige Polizei-Viren für Windows im Umlauf brachte.
11Jul 2016

Die PC-Doktor auch als App Eigentlich war das ja schon längst „fällig“ Die PC-Doktor App ist nun im App-Store für Apple und für Google Smartphones erhältlich und bietet nicht nur Service-Informationen wie Öffnungszeiten und Kontaktdaten. Sie dient in Zukunft als Drehscheibe für aktuelle Warnmeldungen und als „direkter Draht“ zum Experten-Team. Die eingebaute Chat-Funktion nutzt die Intercom-Schnittstelle um […]

27Apr 2016
Locky Virus verbreitet sich in Deutschland

Locky & Co verunsichert Deutschland der Trojaner Locky ist mit einer der gefährlichsten Viren die wir in den letzten Jahren in Deutschland zu verzeichnen hatten. Die überdurchschnittliche aggressive Verbreitung via E-Mail und die ausgezeichnete Anpassung an die deutsche Sprache und Ausdrucksweise verleiten viele Internetbenutzer dazu die gefährliche E-Mail zu öffnen und den Verschlüsselungstrojaner „nebenbei“ hernuter […]

29Feb 2016

Kabelsalat war gestern! so bewirbt der Telefonriese Telekom seinen neuen Router der gleich 5 Geräte auf einmal ersetzen soll. Mit dem Speedport Neo reduziert sich die Technik auf ein Minimum. Seit Ende 2015 wird das Gerät von den Telekom-Mitarbeiter nun angeboten und soll dank Plug ´nd Play auch von jedem Laien innerhalb von wenigen Minuten […]

14Dez 2015

pünktlich zur Weihnachtszeit ist mal wieder mit einem erhöhten Aufkommen von SPAM-Mails und Phishing-Mails zu rechnen. Allerdings werden die Online-Verbrecher immer dreister und besser. Natürlich lernen Sie aus den Fehlern Ihrer Vergangenheit und passen sich an die neue Wachsamkeit der Internet-Benutzer an.

12Nov 2015

Upgrade auf Windows 10 legt Rechner lahm… Windows 10 ist kostenlos für alle Anwender die bereits Windows 8 oder Windows 7 im Einsatz haben. Doch nicht immer klappt der Umstieg vom „alten Windows“ zu Windows 10, problemlos. Vor dem Upgrade sollte Sie unter allen Umständen erst ein ausführliches Backup Ihrer Daten oder gleich Ihres kompletten […]

26Jul 2015
gefälschter Bluescreen

Mit einer neuen Masche machen sich nun Online-kriminelle ans Werk verwenden dafür bereits infizierte Rechner. Diese Software zeigt immer wieder einen recht echt wirkenden Blue Screen of Death, im Vollbild, an und deaktiviert gleichzeitig im Hintergrund Maus und Tastatur. Sodass eine Eingabe oder ein Schließen nicht mehr möglich ist. Dem Benutzer wird eine angebliche Microsoft-Support Telefonnummer angezeigt, dahinter versteckt sich jedoch nur ein indischer Dienstleister, der ein ABO und weitere Schadsoftware installieren ….

06Jul 2015

Facebook feiert einen kleinen Erfolg im Kampf gegen gefährliche Schad-Software: Im vergangenen Quartal wurden von rund 2 Millionen Rechnern Viren, Würmer und Trojaner entfernt.
Mit Kaspersky ist jetzt der vierte Hersteller von Schutz-Software mit von der Partie – F-Secure, ESET und Trend Micro helfen Facebook schon, die infizierten PCs ahnungsloser Facebook-Nutzer zu befreien.

29Jun 2015

In der Universität des US-Bundesstaats Indiana informierte eine Gruppe von Forschern über die Entdeckung mehrerer Sicherheitslücken in den Betriebssystemen OS X und iOS. Die weitaus beunruhigendere Nachricht liegt aber darin, dass es ihnen gelungen ist, den so genannten Schlüsselbund zu hacken, den das Unternehmen für Apps und ihre Sandboxes in OS X benutzt. Wie sich herausstellte, […]

01Mai 2015
wordpress security

Angreifer können aktuelle WordPress-Versionen kapern Eine bisher unbekannte Sicherheitslücke gefährdet aktuelle WordPress-Installationen. Über die Kommentarfunktion können Angreifer Schadcode einbringen, der beim Anzeigen durch einen Admin dessen Konto und somit die Seite übernehmen kann. In der aktuellen WordPress-Version 4.2 klafft eine Sicherheitslücke, die es Angreifern unter bestimmten Umständen erlaubt, die Webseite über die Kommentarfunktion zu übernehmen. […]

29Apr 2015
Virus Alarm

die Übernahme des Nachrichtendienstes „Whatsapp“ durch das soziale Netzwerk „Facebook“ hat die gesamte IT-Branche weltweit bewegt. Seit dem nutzen immer mehr Mitarbeiter den Nachrichtendienste zum Austausch von Informationen, Daten und Termine. Durch BYOD („bring your own device“) können strategische und wichtige Daten sowie die IT-Sicherheit im Unternehmen schnell untergraben werden. Oft teilen Mitarbeiter unbewusst sensible […]

14Apr 2015
Tojaner Emotet

Bank-Trojaner Emotet wieder im deutschsprachigen Raum aktiv der hochautomatisierte Schädling hebelt sogar die Faktor-Zwei-Authentifizierung aus und attackiert gezielt Online-Banking-Nutzer in Deutschland, Österreich und der Schweiz Der Schädling hat explizit CHIP-TAN– und SMS-TAN-Nummern und das Geld von deutschsprachigen Bankkunden im Visier. Emotet wird über täuschend echt aussehende Spam-Mails verbreitet und bringt Anwender mittels Social-Engineering-Methoden dazu, sensible […]

13Apr 2015
google-anzeige-mit-schadsoftware

Über die Werbe-Server von Google wurde gefährliche Schad-Software ausgeliefert. Bereits in der Vergangenheit musste sich der Suchmaschinen-Riese mehrmals mit solchen Pannen und Patzern herumärgern, obwohl Google bei genauerer Betrachtung auch lediglich von Betrügern für ihre finsteren Machenschaften ausgenutzt wird. Über den Google Ads-Service, den genannten Werbedienst von Google werden lediglich die Werbeanzeigen ausgeliefert – wenn […]