El ransomware Android llamado CryCryptor está oculto usando una aplicación falsa de rastreo COVID-19 en Canadá
El martes, un ingeniero de reversa independiente que utilizaba el identificador de Twitter Re-ind se topó con un par de dominios registrados recientemente que intentaban impulsar una aplicación maliciosa de Android. La investigación inicial de Re-ind sugirió que los delincuentes estaban distribuyendo un troyano bancario, pero después de que los investigadores de ESET observaron más de cerca, se dieron cuenta de que en realidad es una nueva variedad de ransomware llamada CryCryptor. A primera vista, parecía que la campaña fue una creación de una sofisticada pandilla cibercriminal.
Table of Contents
Los ciberdelincuentes vuelven a aprovechar la pandemia de COVID-19
Los sitios web maliciosos se crearon pocos días después de que Justin Trudeau, primer ministro de Canadá, anunciara que el gobierno respalda el desarrollo de una aplicación de rastreo de contactos COVID-19. Al igual que otros países del mundo, Canadá está en proceso de lanzar una aplicación que se supone que alerta a las personas que han estado en contacto cercano con casos confirmados de coronavirus. La aplicación aún está en desarrollo y probablemente se lanzará a principios del próximo mes. Los ciberdelincuentes esperaban que la gente no fuera consciente de esto.
Pusieron mucho esfuerzo en disfrazar el ransomware CryCryptor como la próxima aplicación COVID-19 de rastreo de contactos de Canadá. Las páginas de destino hicieron un buen trabajo al hacerse pasar por el sitio web del gobierno canadiense y, como señalaron los investigadores de ESET, faltaban los errores gramaticales y ortográficos habituales.
Hubo un par de párrafos que presentaban la aplicación y explicaban sus beneficios, y a la izquierda de ellos, había un botón gigante "Get it on Google Play". Confusamente, una letra pequeña debajo de dicho botón decía que Google Play todavía estaba en proceso de aprobar la aplicación, por lo que la descarga de la aplicación solo era posible desde "nuestro servidor". Aparte de eso, prácticamente no había nada que pudiera delatar la estafa.
Poco después de descubrir la amenaza, los investigadores de ESET notificaron al Centro Canadiense para la Seguridad Cibernética y, en cuestión de horas, los sitios web maliciosos cayeron. Por supuesto, antes de que eso sucediera, los expertos observaron más de cerca el ransomware CryCryptor.
CryCryptor no es una amenaza muy sofisticada
Muchas variedades de ransomware de Android evitan la complicada tarea de cifrar datos y, en cambio, simplemente cambian la contraseña del dispositivo. CryCryptor no es uno de ellos.
El ransomware codifica los datos con AES, los coloca en un archivo con una extensión .enc y elimina el archivo original. Para cada archivo cifrado, el ransomware crea otros dos que contienen una sal única y un vector de inicialización.
Una vez que se realiza el cifrado, CryCryptor le dice al usuario que sus datos se han cifrado y los insta a seguir las instrucciones en el archivo "readme_now.txt". La nota de rescate no indica la cantidad real del rescate y, en cambio, le da al usuario una identificación única y una dirección de correo electrónico con la que deben comunicarse. Afortunadamente, las demandas de los delincuentes no son tan relevantes en este caso particular porque los archivos cifrados por CryCryptor se pueden recuperar de forma gratuita.
Los investigadores de ESET realizaron ingeniería inversa del ransomware y descubrieron que para evitar transferir la clave de cifrado hacia y desde el servidor de Comando y Control (C&C), los delincuentes habían decidido almacenarlo en el dispositivo. Gracias a esto, los expertos en seguridad pudieron crear y lanzar una herramienta de descifrado gratuita que ayuda a los usuarios afectados por CryCryptor a recuperar sus datos sin pagar el rescate.
Una investigación adicional confirmó que los delincuentes eran bastante vagos cuando preparaban el lado técnico de su ataque. Ni siquiera se molestaron en crear su propia familia de ransomware. En cambio, basaron CryCryptor en CryDroid, una cepa de ransomware para Android que recientemente fue de código abierto a través de GitHub.
El problema con el ransomware de código abierto
El archivo Léame en el repositorio de CryDroid dice que el autor es un experto en seguridad que quiere compartir el código con otros investigadores y que el malware no debe usarse para atacar a víctimas inocentes. Claramente, esto no impidió que los cibercriminales abusen de él. De hecho, el código se hizo público el 11 de junio, y solo una semana después, ya fue renombrado y listo para ser lanzado a los usuarios canadienses.
Esta tampoco es la primera vez que esto sucede. En 2015, un experto en seguridad usó GitHub para compartir una amenaza de ransomware de Windows llamada Hidden Tear por lo que, según él, tenía fines de investigación. Sin darse cuenta, generó una amplia variedad de amenazas de cifrado de archivos que continúan atormentando a los usuarios hasta el día de hoy. La mayoría de las campañas basadas en malware disponible públicamente pueden ser pequeñas y relativamente inofensivas, pero eso no cambia el hecho de que, incluso con las mejores intenciones del mundo, el código malicioso de código abierto hace que la vida de los ciberdelincuentes sea mucho más fácil. En la actualidad, los expertos en seguridad deberían saber mejor que esto.
