A CryCryptornak hívott Android Ransomware egy hamis COVID-19 nyomkövető alkalmazás használatával rejti magát Kanadában

CryCryptor Android Ransomware Poses As a Fake Canadian COVID-19 Contact Tracing App

Kedden egy független fordított mérnök, aki a Twitter kezével kezeli a Re-indt, egy nemrégiben regisztrált domainbe botlott, és megpróbálta elindítani egy rosszindulatú Android-alkalmazást. A Re-ind kezdeti vizsgálata azt sugallta, hogy a csalók banki trójai terjesztését végezték el, de miután az ESET kutatói közelebbről megvizsgálták, rájöttek, hogy valójában ez a váltságdíjas szoftverek egy új törzse, a CryCryptor. Első pillantásra úgy tűnt, hogy a kampány egy kifinomult kiberbűnöző banda agyalapja.

A cybercrooksok ismét kihasználják a COVID-19 járvány előnyeit

A rosszindulatú webhelyeket néhány nappal azután hozták létre, hogy Justin Trudeau, kanadai miniszterelnök bejelentette, hogy a kormány támogatja a COVID-19 kapcsolatfelvételi alkalmazás fejlesztését. Mint a világ többi országában, Kanada is folyamatban van egy alkalmazás elindításában, amelynek állítólag figyelmeztetnie kell azokat az embereket, akik szoros kapcsolatban voltak a megerősített koronavírus-esetekkel. Az alkalmazás még fejlesztés alatt áll, és valószínűleg jövő hónap elején indul. A kiberbűnözők abban reménykedtek, hogy az emberek nem tudják erről.

Nagyon sok erőfeszítést tettek a CryCryptor ransomware álruhájává, mint Kanada közelgő COVID-19 kapcsolatfelvételi alkalmazásává. A nyitóoldalak nagyszerű munkát végeztek a kanadai kormány weboldalának megszemélyesítésével, és amint az ESET kutatói rámutattak, hiányoztak a szokásos nyelvtani és helyesírási hibák.

Volt néhány bekezdés, amely bemutatta az alkalmazást és elmagyarázza annak előnyeit, balról balra egy hatalmas "Szerezd meg a Google Playen" gombot. Zavarban, az említett gomb alatti meglehetősen finom nyomtatás szerint a Google Play még folyamatban volt az alkalmazás jóváhagyásának folyamatában, ezért az alkalmazás letöltése csak „szerverünkről” volt lehetséges. Ezen kívül gyakorlatilag semmi sem adhatta el a csalást.

Röviddel a fenyegetés felfedezése után az ESET kutatói értesítették a kanadai kiberbiztonsági központot, és néhány órán belül a rosszindulatú webhelyek leálltak. Természetesen, mielőtt ez történt, a szakértők közelebbről megvizsgálták a CryCryptor ransomware szoftvert.

A CryCryptor nem túl kifinomult fenyegetés

Számos Android ransomware törzs elkerüli az adatok titkosításának bonyolult üzleti tevékenységét, és ehelyett egyszerűen megváltoztatja az eszköz jelszavát. A CryCryptor nem tartozik ezek közé.

A ransomware beolvassa az adatokat az AES segítségével, egy .enc kiterjesztésű fájlba helyezi és eltávolítja az eredeti fájlt. Mindegyik titkosított fájlhoz a ransomware két másik fájlt hoz létre, amelyek egyedi sót és inicializációs vektort tartalmaznak.

A titkosítás befejezése után a CryCryptor közli a felhasználóval, hogy adatai titkosítva vannak, és sürgeti őket, hogy kövessék az "readme_now.txt" fájlban található utasításokat. A váltságdíj nem tartalmazza a tényleges váltságdíjat, ehelyett egyedi azonosítót és e-mail címet ad a felhasználónak, amelyhez kapcsolatba kell lépniük. Szerencsére a csalók igényei ebben az esetben nem relevánsak, mivel a CryCryptor által titkosított fájlok ingyen letölthetők.

Az ESET kutatói hátrakészítették a ransomware szoftvert, és rájöttek, hogy a titkosítási kulcs átvitelének elkerülése érdekében a Command & Control szerverre (C&C) és a csónakok úgy döntöttek, hogy azt az eszközön tárolják. Ennek köszönhetően a biztonsági szakértők képesek voltak létrehozni és kiadni egy ingyenes dekódoló eszközt, amely segít a CryCryptor által érintett felhasználóknak az adatok visszaszerzésében váltságdíj fizetése nélkül.

A további vizsgálat megerősítette, hogy a bűnözők meglehetősen lusták voltak, amikor a támadás technikai oldalát készítették elő. Még azt sem zavarta, hogy saját magukkal készítsék a ransomware családjukat. Ehelyett a CryCryptor-ot a CryDroidon alapították, amely egy Android ransomware törzs, amelyet nemrégiben nyitottak a GitHubon keresztül.

A nyílt forráskódú ransomware problémája

A CryDroid adattárában található Read Me fájl szerint a szerző biztonsági szakértő, aki meg akarja osztani a kódot kutatókkal, és hogy a rosszindulatú szoftvert nem szabad ártatlan áldozatok támadására használni. Ez nyilvánvalóan nem akadályozta meg a számítógépes bűnözőket abban, hogy visszaéljenek vele. Valójában, a kód június 11-én vált nyilvánosságra, és csak egy héttel később már átalakították és készen állt a kanadai felhasználók felszabadítására.

Nem ez az első alkalom, hogy ez történt. 2015-ben egy biztonsági szakértő a GitHub felhasználásával megosztotta a Windows rensomware fenyegetését, a Hidden Tear elnevezéssel, és azt állította, hogy kutatási célokat szolgál. Véletlenül sokféle fájl titkosító fenyegetést váltott ki, amelyek a mai napig továbbra is kínzó felhasználókat jelentenek. A legtöbb, a nyilvánosan elérhető malware-en alapuló kampány kicsi és viszonylag ártalmatlan lehet, de ez nem változtat azon a tényen, hogy még a világ legjobb szándékaival is, a nyílt forrású rosszindulatú kód megkönnyíti a számítógépes bűnözők életét. Manapság a biztonsági szakértőknek ezt jobban tudniuk kellene.

June 26, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.