Το Android Ransomware που ονομάζεται CryCryptor αποκρύπτεται χρησιμοποιώντας μια εφαρμογή Fake COVID-19 Tracing στον Καναδά

Την Τρίτη, ένας ανεξάρτητος μηχανικός αντίστροφης μηχανής που πηγαίνει από τη λαβή Twitter Re-ind έπεσε σε δυο πρόσφατα καταχωρημένους τομείς που προσπαθούσαν να προωθήσουν μια κακόβουλη εφαρμογή Android. Η αρχική έρευνα του Re-ind έδειξε ότι οι απατεώνες διανέμουν έναν τραπεζικό trojan, αλλά αφού οι ερευνητές από την ESET πήραν μια πιο προσεκτική ματιά, συνειδητοποίησαν ότι είναι στην πραγματικότητα ένα νέο στέλεχος ransomware που ονομάζεται CryCryptor. Με την πρώτη ματιά, φαινόταν ότι η εκστρατεία ήταν το πνευματικό τέκνο μιας εξελιγμένης συμμορίας στον κυβερνοχώρο.

Οι κυβερνοκράτες εκμεταλλεύονται ξανά την πανδημία COVID-19

Οι κακόβουλοι ιστότοποι δημιουργήθηκαν λίγες μόνο ημέρες μετά την ανακοίνωση του Justin Trudeau, πρωθυπουργού του Καναδά, ότι η κυβέρνηση υποστηρίζει την ανάπτυξη μιας εφαρμογής εντοπισμού επαφών COVID-19. Όπως και άλλες χώρες σε όλο τον κόσμο, ο Καναδάς βρίσκεται στη διαδικασία εκτόξευσης μιας εφαρμογής που υποτίθεται ότι προειδοποιεί άτομα που έχουν στενή επαφή με επιβεβαιωμένα κρούσματα ιού κοροναϊού. Η εφαρμογή βρίσκεται ακόμη υπό ανάπτυξη και πιθανότατα θα ξεκινήσει στις αρχές του επόμενου μήνα. Οι εγκληματίες στον κυβερνοχώρο ήλπιζαν ότι οι άνθρωποι δεν θα το γνώριζαν αυτό.

Έβαλαν πολλή προσπάθεια για να συγκαλύψουν το CryCryptor ransomware ως την επερχόμενη εφαρμογή παρακολούθησης επαφών COVID-19 του Καναδά. Οι σελίδες προορισμού έκαναν καλή δουλειά ως πλαστοπροσωπία του ιστότοπου της καναδικής κυβέρνησης και, όπως επεσήμαναν οι ερευνητές της ESET, λείπουν τα συνήθη γραμματικά και ορθογραφικά λάθη.

Υπήρχαν μερικές παραγράφους που εισήγαγαν την εφαρμογή και εξηγούσαν τα οφέλη της, και στα αριστερά τους, υπήρχε ένα τεράστιο κουμπί "Λήψη στο Google Play". Με σύγχυση, μια μάλλον λεπτή εκτύπωση κάτω από το εν λόγω κουμπί αναφέρει ότι το Google Play ήταν ακόμη στη διαδικασία έγκρισης της εφαρμογής, γι 'αυτό η λήψη της εφαρμογής ήταν δυνατή μόνο από τον "διακομιστή μας". Εκτός από αυτό, ουσιαστικά δεν υπήρχε τίποτα που θα μπορούσε να ξεπεράσει την απάτη.

Λίγο μετά την ανακάλυψη της απειλής, οι ερευνητές της ESET ενημέρωσαν το Καναδικό Κέντρο για την Ασφάλεια στον κυβερνοχώρο και μέσα σε λίγες ώρες, οι κακόβουλοι ιστότοποι ήταν εκτός λειτουργίας. Φυσικά, πριν συμβεί αυτό, οι ειδικοί εξέτασαν προσεκτικά το CryCryptor ransomware.

Το CryCryptor δεν είναι μια πολύ περίπλοκη απειλή

Πολλά στελέχη ransomware Android αποφεύγουν την περίπλοκη δουλειά της κρυπτογράφησης δεδομένων και αντ 'αυτού απλώς αλλάζουν τον κωδικό πρόσβασης της συσκευής. Το CryCryptor δεν είναι ένα από αυτά.

Το ransomware ανακατεύει τα δεδομένα με AES, τα βάζει σε ένα αρχείο με επέκταση .enc και καταργεί το αρχικό αρχείο. Για κάθε κρυπτογραφημένο αρχείο, το ransomware δημιουργεί δύο άλλα που περιέχουν ένα μοναδικό αλάτι και ένα φορέα αρχικοποίησης.

Αφού ολοκληρωθεί η κρυπτογράφηση, το CryCryptor ενημερώνει τον χρήστη ότι τα δεδομένα του έχουν κρυπτογραφηθεί και τους παροτρύνει να ακολουθήσουν τις οδηγίες στο αρχείο "readme_now.txt". Η σημείωση λύτρων δεν αναφέρει το πραγματικό ποσό λύτρων και αντ 'αυτού δίνει στον χρήστη ένα μοναδικό αναγνωριστικό και μια διεύθυνση ηλεκτρονικού ταχυδρομείου που πρέπει να επικοινωνήσει. Ευτυχώς, οι απαιτήσεις των απατεώνων δεν είναι τόσο σχετικές στη συγκεκριμένη περίπτωση, επειδή τα αρχεία που κρυπτογραφούνται από το CryCryptor μπορούν να ανακτηθούν δωρεάν.

Οι ερευνητές της ESET ανέβασαν εκ νέου το ransomware και διαπίστωσαν ότι για να αποφύγουν τη μεταφορά του κλειδιού κρυπτογράφησης προς και από τον διακομιστή Command & Control (C&C), οι απατεώνες είχαν αποφασίσει να το αποθηκεύσουν στη συσκευή. Χάρη σε αυτό, οι ειδικοί ασφαλείας μπόρεσαν να δημιουργήσουν και να κυκλοφορήσουν ένα δωρεάν εργαλείο αποκρυπτογράφησης που βοηθά τους χρήστες που επηρεάζονται από το CryCryptor να ανακτήσουν τα δεδομένα τους χωρίς να πληρώσουν τα λύτρα.

Περαιτέρω έρευνα επιβεβαίωσε ότι οι εγκληματίες ήταν μάλλον τεμπέληδες όταν ετοίμαζαν την τεχνική πλευρά της επίθεσής τους. Δεν ενοχλούσαν καν να βρουν τη δική τους οικογένεια ransomware. Αντ 'αυτού, βασίστηκαν το CryCryptor στο CryDroid, ένα στέλεχος ransomware Android που προήλθε πρόσφατα μέσω του GitHub.

Το πρόβλημα με το ransomware ανοιχτού κώδικα

Το αρχείο Read Me στο αποθετήριο του CryDroid λέει ότι ο συγγραφέας είναι ειδικός ασφαλείας που θέλει να μοιραστεί τον κώδικα με άλλους ερευνητές και ότι το κακόβουλο λογισμικό δεν πρέπει να χρησιμοποιείται για επίθεση αθώων θυμάτων. Σαφώς, αυτό δεν εμπόδισε τους εγκληματίες του κυβερνοχώρου να το κάνουν κατάχρηση. Στην πραγματικότητα, ο κώδικας έγινε δημόσιος στις 11 Ιουνίου, και μόλις μια εβδομάδα αργότερα, είχε ήδη μετονομαστεί και ήταν έτοιμος να εξαπολυθεί στους καναδούς χρήστες.

Δεν είναι ούτε η πρώτη φορά που συνέβη αυτό. Το 2015, ένας ειδικός ασφαλείας χρησιμοποίησε το GitHub για να μοιραστεί μια απειλή ransomware των Windows που ονομάζεται Hidden Tear για αυτό που ισχυρίστηκε ότι ήταν ερευνητικός σκοπός. Έκανε ακούσια μια μεγάλη ποικιλία απειλών κρυπτογράφησης αρχείων που συνεχίζουν να βασανίζουν τους χρήστες μέχρι σήμερα. Οι περισσότερες καμπάνιες που βασίζονται σε κακόβουλο λογισμικό που είναι διαθέσιμες στο κοινό μπορεί να είναι μικρές και σχετικά ακίνδυνες, αλλά αυτό δεν αλλάζει το γεγονός ότι, ακόμη και με τις καλύτερες προθέσεις στον κόσμο, ο κακόβουλος κώδικας ανοιχτού κώδικα κάνει τη ζωή των κυβερνοεγκληματιών πολύ πιο εύκολη. Σήμερα, οι ειδικοί ασφαλείας πρέπει να γνωρίζουν καλύτερα από αυτό.