Die als CryCryptor bezeichnete Android-Ransomware wird mithilfe einer gefälschten COVID-19-Tracing-App in Kanada verborgen
Am Dienstag stieß ein unabhängiger Reverse Engineer, der sich mit dem Twitter-Handle Re-ind befasst, auf einige kürzlich registrierte Domains, die versuchten, eine bösartige Android-Anwendung zu pushen. Die erste Untersuchung von Re-ind ergab, dass die Gauner einen Bankentrojaner verteilten, aber nachdem Forscher von ESET genauer hinschauten, stellten sie fest, dass es sich tatsächlich um eine neue Ransomware namens CryCryptor handelt. Auf den ersten Blick sah es so aus, als wäre die Kampagne die Idee einer hoch entwickelten Cyberkriminellenbande.
Table of Contents
Cybercrooks nutzen die COVID-19-Pandemie erneut aus
Die bösartigen Websites wurden nur wenige Tage nach der Ankündigung des kanadischen Premierministers Justin Trudeau eingerichtet, dass die Regierung die Entwicklung einer COVID-19-Anwendung zur Kontaktverfolgung unterstützt. Wie andere Länder auf der ganzen Welt ist Kanada dabei, eine App zu starten, die Personen alarmieren soll, die in engem Kontakt mit bestätigten Coronavirus-Fällen standen. Die Anwendung befindet sich noch in der Entwicklung und wird höchstwahrscheinlich Anfang nächsten Monats gestartet. Die Cyberkriminellen hofften, dass die Leute sich dessen nicht bewusst sein würden.
Sie haben große Anstrengungen unternommen, um die CryCryptor-Ransomware als Kanadas kommende COVID-19-App zur Kontaktverfolgung zu tarnen. Die Zielseiten haben die Website der kanadischen Regierung hervorragend verkörpert, und wie die Forscher von ESET betonten, fehlten die üblichen Grammatik- und Rechtschreibfehler.
Es gab ein paar Absätze, in denen die App vorgestellt und ihre Vorteile erläutert wurden. Links davon befand sich eine riesige Schaltfläche "Bei Google Play herunterladen". Verwirrenderweise zeigte ein ziemlich Kleingedrucktes unter der genannten Schaltfläche, dass Google Play die Genehmigung des Antrags noch ausführte, weshalb das Herunterladen der App nur von "unserem Server" möglich war. Abgesehen davon gab es praktisch nichts, was den Betrug verraten könnte.
Kurz nachdem sie die Bedrohung entdeckt hatten, benachrichtigten die ESET-Forscher das kanadische Zentrum für Cybersicherheit, und innerhalb weniger Stunden waren die schädlichen Websites ausgefallen. Bevor dies geschah, haben sich die Experten natürlich die CryCryptor-Ransomware genauer angesehen.
CryCryptor ist keine sehr ausgefeilte Bedrohung
Viele Android-Ransomware-Stämme vermeiden das komplizierte Verschlüsseln von Daten und ändern stattdessen einfach das Kennwort des Geräts. CryCryptor gehört nicht dazu.
Die Ransomware verschlüsselt die Daten mit AES, legt sie in einer Datei mit der Erweiterung .enc ab und entfernt die Originaldatei. Für jede verschlüsselte Datei erstellt die Ransomware zwei weitere, die ein eindeutiges Salt und einen Initialisierungsvektor enthalten.
Nach Abschluss der Verschlüsselung teilt CryCryptor dem Benutzer mit, dass seine Daten verschlüsselt wurden, und fordert ihn auf, die Anweisungen in der Datei "readme_now.txt" zu befolgen. Der Lösegeldschein gibt nicht den tatsächlichen Lösegeldbetrag an und gibt dem Benutzer stattdessen eine eindeutige ID und eine E-Mail-Adresse, die er kontaktieren muss. Glücklicherweise sind die Anforderungen der Gauner in diesem speziellen Fall nicht so relevant, da mit CryCryptor verschlüsselte Dateien kostenlos abgerufen werden können.
Die Forscher von ESET haben die Ransomware rückentwickelt und herausgefunden, dass die Gauner beschlossen hatten, den Verschlüsselungsschlüssel auf dem Gerät zu speichern, um eine Übertragung des Verschlüsselungsschlüssels zum und vom Command & Control-Server (C & C) zu vermeiden. Dank dessen konnten die Sicherheitsexperten ein kostenloses Entschlüsselungstool erstellen und veröffentlichen, mit dem von CryCryptor betroffene Benutzer ihre Daten abrufen können, ohne das Lösegeld zu zahlen.
Weitere Untersuchungen bestätigten, dass die Kriminellen ziemlich faul waren, als sie die technische Seite ihres Angriffs vorbereiteten. Sie haben sich nicht einmal die Mühe gemacht, eine eigene Ransomware-Familie zu entwickeln. Stattdessen basierten sie CryCryptor auf CryDroid, einem Android-Ransomware-Stamm, der kürzlich über GitHub als Open-Source-Version bereitgestellt wurde.
Das Problem mit Open Source Ransomware
Die Readme-Datei im CryDroid-Repository besagt, dass der Autor ein Sicherheitsexperte ist, der den Code mit anderen Forschern teilen möchte, und dass die Malware nicht zum Angriff auf unschuldige Opfer verwendet werden sollte. Dies hat die Cyberkriminellen natürlich nicht davon abgehalten, sie zu missbrauchen. Tatsächlich wurde der Code am 11. Juni veröffentlicht, und nur eine Woche später wurde er bereits umbenannt und war bereit, für kanadische Benutzer freigesetzt zu werden.
Dies ist auch nicht das erste Mal, dass dies passiert ist. Im Jahr 2015 nutzte ein Sicherheitsexperte GitHub, um eine Windows-Ransomware-Bedrohung namens Hidden Tear für Forschungszwecke freizugeben. Er hat versehentlich eine Vielzahl von Bedrohungen für die Dateiverschlüsselung hervorgebracht, die die Benutzer bis heute quälen. Die meisten Kampagnen, die auf öffentlich verfügbarer Malware basieren, sind zwar klein und relativ harmlos, aber das ändert nichts an der Tatsache, dass Open-Sourcing-Schadcode selbst mit den besten Absichten der Welt das Leben der Cyberkriminellen erheblich erleichtert. In der heutigen Zeit sollten Sicherheitsexperten es besser wissen.
