Android Ransomware kaldet CryCryptor skjules ved hjælp af en falske COVID-19 sporingsapp i Canada
Tirsdag snublede en uafhængig omvendt ingeniør, der kørte forbi Twitter-håndtaget Re-ind, over et par nyligt registrerede domæner, der forsøgte at skubbe til et ondsindet Android-program. Re-inds første undersøgelse antydede, at skurkerne distribuerede en bank-trojan, men efter at forskere fra ESET kiggede nærmere på, indså de, at det faktisk var en ny stamme af ransomware kaldet CryCryptor. Ved første øjekast så det ud til, at kampagnen var hjernebarnet til en sofistikeret cyberkriminel bande.
Table of Contents
Cybercrooks drager fordel af COVID-19-pandemien igen
De ondsindede websteder blev oprettet blot dage efter, at Justin Trudeau, Canadas premierminister, annoncerede, at regeringen støtter udviklingen af en COVID-19-kontaktsporingsansøgning. Som andre lande overalt i verden er Canada i færd med at lancere en app, der antages at advare folk, der har været i tæt kontakt med bekræftede coronavirus-tilfælde. Programmet er stadig under udvikling, og det vil sandsynligvis blive lanceret tidligt næste måned. Cyberkriminelle håbede, at folk var uvidende om dette.
De lægger en stor indsats i at forklæde CryCryptor ransomware som Canadas kommende COVID-19 kontakt sporingsapp. Landingssiderne gjorde et fint stykke arbejde med at udligne den canadiske regerings hjemmeside, og som ESETs forskere påpegede, manglede de sædvanlige grammatiske og stavefejl.
Der var et par afsnit, der introducerede appen og forklarede dens fordele, og til venstre for dem var der en kæmpe "Hent den på Google Play" -knappen. Forvirrende nok læste en ret fin udskrift under den nævnte knap, at Google Play stadig var i færd med at godkende applikationen, og det er grunden til, at det kun var muligt at downloade appen fra "vores server." Bortset fra det var der næsten intet, der kunne give svindel væk.
Kort efter opdagelsen af truslen underrettede ESETs forskere det canadiske center for cybersikkerhed, og inden for få timer var de ondsindede websteder nede. Inden det skete, så eksperterne selvfølgelig nærmere på CryCryptor-løseprogrammet.
CryCryptor er ikke en meget sofistikeret trussel
Mange Android ransomware-stammer undgår den komplicerede forretning med at kryptere data og skift i stedet blot enhedens adgangskode. CryCryptor er ikke en af dem.
Ransomware-koderne ruller dataene sammen med AES, sætter dem i en fil med en .enc-udvidelse og fjerner den originale fil. For hver krypteret fil opretter ransomware to andre, der indeholder et unikt salt og en initialiseringsvektor.
Når krypteringen er afsluttet, fortæller CryCryptor brugeren, at deres data er krypteret og opfordrer dem til at følge instruktionerne i filen "readme_now.txt". Løsningsmeddelelsen angiver ikke det faktiske løsepenge, men giver i stedet brugeren et unikt ID og en e-mail-adresse, de har brug for at kontakte. Heldigvis er skurkenes krav ikke så relevante i dette særlige tilfælde, fordi filer, der er krypteret af CryCryptor, kan hentes gratis.
ESETs forskere omvendt konstruerede ransomware og fandt ud af, at for at undgå at overføre krypteringsnøglen til og fra Command & Control-serveren (C&C), skurkerne havde besluttet at gemme den på enheden. Takket være dette var sikkerhedseksperterne i stand til at oprette og frigive et gratis dekrypteringsværktøj, der hjælper brugere, der er berørt af CryCryptor, at hente deres data uden at betale løsepenge.
Yderligere undersøgelse bekræftede, at de kriminelle var temmelig doven, da de forberedte den tekniske side af deres angreb. De gider ikke engang at komme med deres egen ransomware-familie. I stedet baserede de CryCryptor på CryDroid, en Android ransomware-stamme, der for nylig blev åbnet gennem GitHub.
Problemet med open source ransomware
Read Me-filen i CryDroid's opbevaring siger, at forfatteren er en sikkerhedsekspert, der ønsker at dele koden med andre forskere, og at malware ikke skal bruges til at angribe uskyldige ofre. Dette forhindrede helt klart ikke cyberkriminelle i at misbruge det. Faktisk blev koden offentliggjort den 11. juni, og kun en uge senere blev den allerede omdannet og klar til at blive løsladt for canadiske brugere.
Det er heller ikke første gang dette sker. I 2015 brugte en sikkerhedsekspert GitHub til at dele en Windows-ransomware-trussel kaldet Hidden Tear til det, han hævdede var forskningsformål. Han bragte uforvarende en lang række filkrypterende trusler, der fortsætter med at plage brugerne i dag. De fleste kampagner, der er baseret på offentligt tilgængelig malware, kan være små og relativt uskadelige, men det ændrer ikke det faktum, at selv med de bedste intentioner i verden gør open-sourcing ondsindet kode cyberkriminelle liv meget lettere. I denne dag og alder bør sikkerhedseksperter vide bedre end dette.
