Le ransomware Android appelé CryCryptor est caché à l'aide d'une fausse application de traçage COVID-19 au Canada
Mardi, un ingénieur inversé indépendant utilisant le compte Twitter Re-ind est tombé sur quelques domaines récemment enregistrés essayant de pousser une application Android malveillante. L'enquête initiale de Re-ind a suggéré que les escrocs distribuaient un cheval de Troie bancaire, mais après que les chercheurs d'ESET ont examiné de plus près, ils ont réalisé qu'il s'agissait en fait d'une nouvelle souche de ransomware appelée CryCryptor. À première vue, il semblait que la campagne avait été inventée par un gang cybercriminel sophistiqué.
Table of Contents
Les cybercriminels profitent à nouveau de la pandémie de COVID-19
Les sites Web malveillants ont été créés quelques jours seulement après que Justin Trudeau, le premier ministre du Canada, a annoncé que le gouvernement soutenait le développement d'une application de recherche de contacts COVID-19. Comme d'autres pays du monde, le Canada est en train de lancer une application censée alerter les personnes qui ont été en contact étroit avec des cas confirmés de coronavirus. L'application est toujours en cours de développement et sera probablement lancée au début du mois prochain. Les cybercriminels espéraient que les gens l'ignoreraient.
Ils ont déployé beaucoup d'efforts pour déguiser le ransomware CryCryptor en tant que prochaine application de recherche de contacts COVID-19 au Canada. Les pages de destination ont parfaitement imité le site Web du gouvernement canadien et, comme l'ont souligné les chercheurs d'ESET, les erreurs grammaticales et orthographiques habituelles manquaient.
Il y avait quelques paragraphes présentant l'application et expliquant ses avantages, et à gauche, il y avait un bouton géant "Get it on Google Play". De manière confuse, une impression assez fine sous ledit bouton indique que Google Play est toujours en train d'approuver l'application, c'est pourquoi le téléchargement de l'application n'est possible qu'à partir de "notre serveur". En dehors de cela, il n'y avait pratiquement rien qui puisse révéler l'arnaque.
Peu de temps après avoir découvert la menace, les chercheurs d'ESET ont avisé le Centre canadien de cybersécurité et, en quelques heures, les sites Web malveillants étaient en panne. Bien sûr, avant que cela ne se produise, les experts ont examiné de plus près le ransomware CryCryptor.
CryCryptor n'est pas une menace très sophistiquée
De nombreuses souches de ransomwares Android évitent le travail compliqué de chiffrement des données et changent simplement le mot de passe de l'appareil. CryCryptor n'en fait pas partie.
Le ransomware brouille les données avec AES, les place dans un fichier avec une extension .enc et supprime le fichier d'origine. Pour chaque fichier chiffré, le ransomware en crée deux autres qui contiennent un sel unique et un vecteur d'initialisation.
Une fois le cryptage terminé, CryCryptor informe l'utilisateur que ses données ont été cryptées et les invite à suivre les instructions du fichier "readme_now.txt". La note de rançon n'indique pas le montant réel de la rançon et donne à l'utilisateur un identifiant unique et une adresse e-mail qu'il doit contacter. Heureusement, les demandes des escrocs ne sont pas si pertinentes dans ce cas particulier, car les fichiers chiffrés par CryCryptor peuvent être récupérés gratuitement.
Les chercheurs d'ESET ont procédé à une ingénierie inverse du rançongiciel et ont découvert que pour éviter de transférer la clé de cryptage vers et depuis le serveur de commande et de contrôle (C&C), les escrocs avaient décidé de la stocker sur l'appareil. Grâce à cela, les experts en sécurité ont pu créer et publier un outil de déchiffrement gratuit qui aide les utilisateurs concernés par CryCryptor à récupérer leurs données sans payer la rançon.
Une enquête plus approfondie a confirmé que les criminels étaient plutôt paresseux lorsqu'ils préparaient le côté technique de leur attaque. Ils n'ont même pas pris la peine de créer leur propre famille de ransomwares. Au lieu de cela, ils ont basé CryCryptor sur CryDroid, une souche de ransomware Android récemment open source via GitHub.
Le problème des ransomwares open source
Le fichier Lisez-moi dans le référentiel de CryDroid indique que l'auteur est un expert en sécurité qui souhaite partager le code avec des collègues chercheurs et que le malware ne devrait pas être utilisé pour attaquer des victimes innocentes. De toute évidence, cela n'a pas empêché les cybercriminels d'en abuser. En fait, le code est devenu public le 11 juin et, une semaine plus tard, il était déjà renommé et prêt à être diffusé auprès des utilisateurs canadiens.
Ce n'est pas la première fois que cela se produit non plus. En 2015, un expert en sécurité a utilisé GitHub pour partager une menace de ransomware Windows appelée Hidden Tear à des fins de recherche. Par inadvertance, il a engendré une grande variété de menaces de cryptage de fichiers qui continuent de tourmenter les utilisateurs à ce jour. La plupart des campagnes basées sur des logiciels malveillants accessibles au public peuvent être petites et relativement inoffensives, mais cela ne change rien au fait que même avec les meilleures intentions du monde, le code malveillant open source facilite beaucoup la vie des cybercriminels. De nos jours, les experts en sécurité devraient savoir mieux que cela.
