A CryCryptornak hívott Android Ransomware egy hamis COVID-19 nyomkövető alkalmazás használatával rejti magát Kanadában
Kedden egy független fordított mérnök, aki a Twitter kezével kezeli a Re-indt, egy nemrégiben regisztrált domainbe botlott, és megpróbálta elindítani egy rosszindulatú Android-alkalmazást. A Re-ind kezdeti vizsgálata azt sugallta, hogy a csalók banki trójai terjesztését végezték el, de miután az ESET kutatói közelebbről megvizsgálták, rájöttek, hogy valójában ez a váltságdíjas szoftverek egy új törzse, a CryCryptor. Első pillantásra úgy tűnt, hogy a kampány egy kifinomult kiberbűnöző banda agyalapja.
Table of Contents
A cybercrooksok ismét kihasználják a COVID-19 járvány előnyeit
A rosszindulatú webhelyeket néhány nappal azután hozták létre, hogy Justin Trudeau, kanadai miniszterelnök bejelentette, hogy a kormány támogatja a COVID-19 kapcsolatfelvételi alkalmazás fejlesztését. Mint a világ többi országában, Kanada is folyamatban van egy alkalmazás elindításában, amelynek állítólag figyelmeztetnie kell azokat az embereket, akik szoros kapcsolatban voltak a megerősített koronavírus-esetekkel. Az alkalmazás még fejlesztés alatt áll, és valószínűleg jövő hónap elején indul. A kiberbűnözők abban reménykedtek, hogy az emberek nem tudják erről.
Nagyon sok erőfeszítést tettek a CryCryptor ransomware álruhájává, mint Kanada közelgő COVID-19 kapcsolatfelvételi alkalmazásává. A nyitóoldalak nagyszerű munkát végeztek a kanadai kormány weboldalának megszemélyesítésével, és amint az ESET kutatói rámutattak, hiányoztak a szokásos nyelvtani és helyesírási hibák.
Volt néhány bekezdés, amely bemutatta az alkalmazást és elmagyarázza annak előnyeit, balról balra egy hatalmas "Szerezd meg a Google Playen" gombot. Zavarban, az említett gomb alatti meglehetősen finom nyomtatás szerint a Google Play még folyamatban volt az alkalmazás jóváhagyásának folyamatában, ezért az alkalmazás letöltése csak „szerverünkről” volt lehetséges. Ezen kívül gyakorlatilag semmi sem adhatta el a csalást.
Röviddel a fenyegetés felfedezése után az ESET kutatói értesítették a kanadai kiberbiztonsági központot, és néhány órán belül a rosszindulatú webhelyek leálltak. Természetesen, mielőtt ez történt, a szakértők közelebbről megvizsgálták a CryCryptor ransomware szoftvert.
A CryCryptor nem túl kifinomult fenyegetés
Számos Android ransomware törzs elkerüli az adatok titkosításának bonyolult üzleti tevékenységét, és ehelyett egyszerűen megváltoztatja az eszköz jelszavát. A CryCryptor nem tartozik ezek közé.
A ransomware beolvassa az adatokat az AES segítségével, egy .enc kiterjesztésű fájlba helyezi és eltávolítja az eredeti fájlt. Mindegyik titkosított fájlhoz a ransomware két másik fájlt hoz létre, amelyek egyedi sót és inicializációs vektort tartalmaznak.
A titkosítás befejezése után a CryCryptor közli a felhasználóval, hogy adatai titkosítva vannak, és sürgeti őket, hogy kövessék az "readme_now.txt" fájlban található utasításokat. A váltságdíj nem tartalmazza a tényleges váltságdíjat, ehelyett egyedi azonosítót és e-mail címet ad a felhasználónak, amelyhez kapcsolatba kell lépniük. Szerencsére a csalók igényei ebben az esetben nem relevánsak, mivel a CryCryptor által titkosított fájlok ingyen letölthetők.
Az ESET kutatói hátrakészítették a ransomware szoftvert, és rájöttek, hogy a titkosítási kulcs átvitelének elkerülése érdekében a Command & Control szerverre (C&C) és a csónakok úgy döntöttek, hogy azt az eszközön tárolják. Ennek köszönhetően a biztonsági szakértők képesek voltak létrehozni és kiadni egy ingyenes dekódoló eszközt, amely segít a CryCryptor által érintett felhasználóknak az adatok visszaszerzésében váltságdíj fizetése nélkül.
A további vizsgálat megerősítette, hogy a bűnözők meglehetősen lusták voltak, amikor a támadás technikai oldalát készítették elő. Még azt sem zavarta, hogy saját magukkal készítsék a ransomware családjukat. Ehelyett a CryCryptor-ot a CryDroidon alapították, amely egy Android ransomware törzs, amelyet nemrégiben nyitottak a GitHubon keresztül.
A nyílt forráskódú ransomware problémája
A CryDroid adattárában található Read Me fájl szerint a szerző biztonsági szakértő, aki meg akarja osztani a kódot kutatókkal, és hogy a rosszindulatú szoftvert nem szabad ártatlan áldozatok támadására használni. Ez nyilvánvalóan nem akadályozta meg a számítógépes bűnözőket abban, hogy visszaéljenek vele. Valójában, a kód június 11-én vált nyilvánosságra, és csak egy héttel később már átalakították és készen állt a kanadai felhasználók felszabadítására.
Nem ez az első alkalom, hogy ez történt. 2015-ben egy biztonsági szakértő a GitHub felhasználásával megosztotta a Windows rensomware fenyegetését, a Hidden Tear elnevezéssel, és azt állította, hogy kutatási célokat szolgál. Véletlenül sokféle fájl titkosító fenyegetést váltott ki, amelyek a mai napig továbbra is kínzó felhasználókat jelentenek. A legtöbb, a nyilvánosan elérhető malware-en alapuló kampány kicsi és viszonylag ártalmatlan lehet, de ez nem változtat azon a tényen, hogy még a világ legjobb szándékaival is, a nyílt forrású rosszindulatú kód megkönnyíti a számítógépes bűnözők életét. Manapság a biztonsági szakértőknek ezt jobban tudniuk kellene.