Androidランサムウェアと呼ばれるCryCryptorは、カナダの偽のCOVID-19トレースアプリを使用して隠されています
火曜日に、TwitterハンドルRe-indを経由する独立したリバースエンジニアが、最近登録されたいくつかのドメインに遭遇し 、悪意のあるAndroidアプリケーションをプッシュしようとしました。 Re-indの最初の調査は、詐欺師が銀行のトロイの木馬を配布していることを示唆していましたが、ESETの研究者が詳しく調べたところ 、CryCryptorと呼ばれるランサムウェアの新しい株であることに気付きました。一見したところ、このキャンペーンは洗練されたサイバー犯罪グループの発案によるもののようでした。
Table of Contents
Cybercrooksは再びCOVID-19パンデミックを利用します
悪意のあるWebサイトは、カナダの首相であるJustin Trudeauが政府がCOVID-19連絡先追跡アプリケーションの開発を支援していると発表した数日後、開設されました。カナダは世界中の他の国と同様に、コロナウイルスの確定症例と密接に接触している人々に警告することを想定したアプリのリリースを進めています。アプリケーションはまだ開発中で、おそらく来月初めにリリースされるでしょう。サイバー犯罪者は、人々がこれを知らないことを望んでいました。
彼らは、CryCryptorランサムウェアをカナダの次期COVID-19連絡先追跡アプリとして偽装することに多大な労力を費やしました。ランディングページはカナダ政府のWebサイトになりすましているというすばらしい仕事をしました、そして、ESETの研究者が指摘したように、通常の文法およびスペルミスはありませんでした。
アプリを紹介し、その利点を説明するいくつかの段落があり、それらの左側に、巨大な「Google Playで入手」ボタンがありました。紛らわしいことに、上記のボタンの下のかなり細かい印刷には、Google Playがまだアプリケーションを承認中であることが示されています。そのため、アプリケーションのダウンロードは「当社のサーバー」からのみ可能でした。それを除けば、詐欺を手放すことができるものはほとんどありませんでした。
脅威を発見してまもなく、ESETの研究者たちはカナダのサイバーセキュリティセンターに通知し、数時間以内に悪意のあるWebサイトがダウンしました。もちろん、それが起こる前に、専門家はCryCryptorランサムウェアを詳しく調べました。
CryCryptorはそれほど高度な脅威ではありません
多くのAndroidランサムウェア株は、データの暗号化という複雑なビジネスを回避し、代わりにデバイスのパスワードを変更するだけです。 CryCryptorはそれらの1つではありません。
ランサムウェアはデータをAESでスクランブルし、.enc拡張子の付いたファイルに入れて、元のファイルを削除します。暗号化されたファイルごとに、ランサムウェアは、固有のソルトと初期化ベクトルを含む他の2つを作成します。
暗号化が完了すると、CryCryptorはユーザーにデータが暗号化されたことを通知し、「readme_now.txt」ファイルの指示に従うようにユーザーに促します。身代金のメモには実際の身代金の額は記載されておらず、代わりにユーザーに連絡する必要がある一意のIDとメールアドレスが表示されます。幸い、CryCryptorで暗号化されたファイルは無料で取得できるため、この特定のケースでは詐欺師の要求はそれほど関係ありません。
ESETの研究者はランサムウェアをリバースエンジニアリングして、暗号化キーをCommand&Controlサーバー(C&C)との間で転送することを回避するために、詐欺師がデバイスにそれを保存することに決めました。このおかげで、セキュリティの専門家は、CryCryptorの影響を受けるユーザーが身代金を支払うことなくデータを取得できるようにする無料の復号化ツールを作成してリリースすることができました。
さらなる調査の結果、犯罪者は攻撃の技術面を準備する際にかなり怠惰であることが確認されました。彼らは自分のランサムウェアファミリーを思いつくことさえしませんでした。その代わり、彼らは最近GitHubを通じてオープンソース化されたAndroidランサムウェア株であるCryDroidに基づいてCryCryptorをベースにしています。
オープンソースのランサムウェアの問題
CryDroidのリポジトリにあるRead Meファイルは、作者は他の研究者とコードを共有したいセキュリティの専門家であり、マルウェアは無実の犠牲者を攻撃するために使用すべきではないと述べています。明らかに、これはサイバー犯罪者による悪用を阻止しなかった。実際、コードは6月11日に公開され、その1週間後、コードはすでにブランド変更され、カナダのユーザーに解き放たれる準備ができていました。
これが起こったのもこれが初めてではありません。 2015年、セキュリティの専門家はGitHubを使用して、研究目的であると主張したHidden Tearと呼ばれるWindowsランサムウェアの脅威を共有しました。彼はうっかりしてさまざまなファイル暗号化の脅威を生み出し、今日までユーザーを苦しめ続けています。公開されているマルウェアに基づくほとんどのキャンペーンは小規模で比較的無害な可能性がありますが、世界で最善の意図があっても、悪意のあるコードをオープンソース化することでサイバー犯罪者の生活が大幅に楽になるという事実は変わりません。この時代では、セキュリティの専門家はこれよりもよく知っているはずです。