Android-Trojan.Koler.A, il ransomware che chiede 300$ per sbloccare i dispositivi Android che visitano siti porno.

A quanto pare gli utenti che possiedono un dispositivo Android e lo usano anche per visitare siti pornografici corrono il rischio di installare un cosiddetto "ransomware", vale a dire un particolare tipo di malware progettato per bloccare il sistema operativo finché non viene pagato un riscatto. In pratica il nome di questo virus è "Android-Trojan.Koler.A" ed utilizza le funzioni GPS per simulare le corrette autorità locali e mostrare un avviso diverso, appunto, in base alla posizione geografica dell'utente: il messaggio comunica all'utente la violazione delle leggi locali e, come anticipato, lo smartphone verrà sbloccato solo dopo aver pagato una "multa" di 300 dollari tramite sistemi irrintracciabili come Paysafecard o uKash. In sostanza fino a qualche anno fa i ransomware erano un'esclusiva dei computer dotati di Windows, tuttavia la progressiva diffusione dei dispositivi mobile ha spostato l'attenzione dei cybercriminali verso Android, ovvero il sistema operativo mobile attualmente più diffuso. Ad ogni modo Android-Trojan.Koler.A è stato creato in modo da rallentare l'analisi del suo funzionamento, ma, (contrariamente al famigerato CryptoLocker), non è così pericoloso perché non usa nessun tipo di crittografia che blocca l'accesso ai dati conservati sullo smartphone. Fortunatamente il rischio è minimo per gli utenti che installano applicazioni solamente dal Google Play Store, in quanto il malware in questione è nascosto all'interno di un file APK che alcuni siti a luci rosse chiedono di scaricare per poter vedere i video; cosa che avviene solo se è stata attivata l'opzione per il download manuale da fonti sconosciute. Insomma bisogna proprio andare a cercarsela; anche se per far cadere nella trappola gli utenti, i malintenzionati utilizzano varie tecniche di ingegneria sociale e finora si contano circa 70 vittime, la maggior parte delle quali risiede negli Emirati Arabi Uniti; ma ciò non esclude che il numero possa aumentare e che il virus possa colpire altri Paesi. Tra l'altro più che per la sua effettiva pericolosità Android-Trojan.Koler.A è interessante perché segna l'arrivo di una simile minaccia anche nel mondo degli smartphone: un domani potrebbero arrivarne versioni molto più difficili da rimuovere, dotate magari anche di crittografia per il blocco totale dei dati. Comunque sia anche se, come già spiegato, il ransomware in questione fa in modo che sullo schermo del dispositivo venga mostrata una pagina web in cui vengono indicati l'indirizzo IP, il Paese dell'utente e la violazione della legge, in teoria il malware potrebbe essere disinstallato manualmente; infatti sostanzialmente il virus tiene in primo piano la finestra del browser con il suddetto messaggio di violazione, la quale, se chiusa, ricompare ogni 5 secondi. Quindi per eliminare Android-Trojan.Koler.A si potrebbe procedere come segue: chiudere la finestra premendo il tasto home ed entro il suddetto lasso di tempo andare a disintallare l'applicazione con la procedura standard, ma, come ha spiegato Bogdan Botezatu di Bitdefender, ciò è possibile solo se l'icona dell'applicazione si trova nella prima riga; altrimenti non si avrebbe il tempo necessario di trascinarla sull'icona per disintallare. In questi casi l'unico modo per riprendere il controllo del proprio device sarebbe il reset completo. Perciò per prevenire il contagio è consigliabile avere sempre a disposizione un backup recente dei propri dati più importanti, installare eventualmente uno dei tanti antivirus disponibili e scaricare applicazioni solo dallo store ufficiale.

Di seguito uno screenshot della suddetta segnalazione: