Il ransomware Android chiamato CryCryptor è nascosto utilizzando un'app di traccia COVID-19 falsa in Canada

CryCryptor Android Ransomware Poses As a Fake Canadian COVID-19 Contact Tracing App

Martedì, un reverse engineer indipendente che gestisce Twitter re-ind si è imbattuto in un paio di domini registrati di recente che cercavano di inviare un'applicazione Android dannosa. L'inchiesta iniziale di Re-ind ha suggerito che i criminali stavano distribuendo un trojan bancario, ma dopo che i ricercatori dell'ESET hanno dato un'occhiata più da vicino, hanno capito che in realtà è un nuovo ceppo di ransomware chiamato CryCryptor. A prima vista, sembrava che la campagna fosse stata ideata da una sofisticata banda di criminali informatici.

I cybercrook sfruttano nuovamente la pandemia COVID-19

I siti Web dannosi sono stati creati pochi giorni dopo che Justin Trudeau, primo ministro canadese, aveva annunciato che il governo stava sostenendo lo sviluppo di un'applicazione di tracciamento dei contatti COVID-19. Come altri paesi in tutto il mondo, il Canada sta lanciando un'app che dovrebbe avvisare le persone che sono state in stretto contatto con casi confermati di coronavirus. L'applicazione è ancora in fase di sviluppo e molto probabilmente verrà lanciata all'inizio del prossimo mese. I criminali informatici speravano che le persone non ne fossero consapevoli.

Hanno fatto molti sforzi per mascherare il ransomware CryCryptor come prossima app di tracciamento dei contatti COVID-19 in Canada. Le landing page hanno fatto un ottimo lavoro nel rappresentare il sito web del governo canadese e, come hanno sottolineato i ricercatori di ESET, mancavano i soliti errori grammaticali e ortografici.

C'erano un paio di paragrafi che introducevano l'app e spiegavano i suoi benefici, e alla loro sinistra c'era un gigantesco pulsante "Scarica su Google Play". Confusamente, una stampa piuttosto fine sotto il detto pulsante diceva che Google Play stava ancora approvando l'applicazione, motivo per cui il download dell'app era possibile solo dal "nostro server". A parte questo, non c'era praticamente nulla che potesse dare via la truffa.

Poco dopo aver scoperto la minaccia, i ricercatori di ESET hanno notificato il Canadian Centre for Cyber Security e nel giro di poche ore i siti Web dannosi sono stati disattivati. Naturalmente, prima che ciò accadesse, gli esperti hanno esaminato più da vicino il ransomware CryCryptor.

CryCryptor non è una minaccia molto sofisticata

Molte varietà di ransomware Android evitano la complicata attività di crittografia dei dati e cambiano semplicemente la password del dispositivo. CryCryptor non è uno di questi.

Il ransomware mescola i dati con AES, li inserisce in un file con estensione .enc e rimuove il file originale. Per ogni file crittografato, il ransomware ne crea altri due che contengono un unico salt e un vettore di inizializzazione.

Al termine della crittografia, CryCryptor comunica all'utente che i loro dati sono stati crittografati e li esorta a seguire le istruzioni nel file "readme_now.txt". La nota di riscatto non indica l'effettivo importo del riscatto e fornisce invece all'utente un ID univoco e un indirizzo e-mail che devono contattare. Fortunatamente, le richieste dei criminali non sono così rilevanti in questo caso particolare perché i file crittografati da CryCryptor possono essere recuperati gratuitamente.

I ricercatori di ESET hanno decodificato il ransomware e hanno scoperto che per evitare di trasferire la chiave di crittografia da e verso il server Command & Control (C&C), i truffatori avevano deciso di archiviarlo sul dispositivo. Grazie a ciò, gli esperti di sicurezza sono stati in grado di creare e rilasciare uno strumento di decodifica gratuito che aiuta gli utenti interessati da CryCryptor a recuperare i propri dati senza pagare il riscatto.

Ulteriori indagini hanno confermato che i criminali erano piuttosto pigri quando stavano preparando il lato tecnico del loro attacco. Non si sono nemmeno preoccupati di inventare la propria famiglia di ransomware. Invece, hanno basato CryCryptor su CryDroid, una varietà di ransomware Android che è stata recentemente di provenienza aperta tramite GitHub.

Il problema con il ransomware open source

Il file Leggimi nel repository di CryDroid afferma che l'autore è un esperto di sicurezza che vuole condividere il codice con altri ricercatori e che il malware non dovrebbe essere usato per attaccare vittime innocenti. Chiaramente, ciò non ha impedito ai criminali informatici di abusarne. In effetti, il codice è diventato pubblico l'11 giugno e solo una settimana dopo è stato già rinominato e pronto per essere rilasciato agli utenti canadesi.

Non è nemmeno la prima volta che succede. Nel 2015, un esperto di sicurezza ha utilizzato GitHub per condividere una minaccia ransomware di Windows chiamata Hidden Tear per quelli che sosteneva fossero scopi di ricerca. Ha inavvertitamente generato una vasta gamma di minacce di crittografia dei file che continuano a tormentare gli utenti fino ad oggi. La maggior parte delle campagne basate su malware disponibili pubblicamente potrebbe essere piccola e relativamente innocua, ma ciò non cambia il fatto che anche con le migliori intenzioni del mondo, il codice dannoso di provenienza aperta sta rendendo molto più facile la vita dei criminali informatici. Al giorno d'oggi, gli esperti di sicurezza dovrebbero conoscere meglio di così.

June 26, 2020

Lascia un Commento