Android Ransomware kalt CryCryptor er skjult ved hjelp av en falsk COVID-19 sporingsapp i Canada
Tirsdag snublet en uavhengig omvendt ingeniør som gikk av Twitter-håndtaket Re-ind, over et par nylig registrerte domener som prøvde å presse en ondsinnet Android-applikasjon. Re-inds første undersøkelse antydet at skurkene distribuerte en bank-trojan, men etter at forskere fra ESET så nærmere på, innså de at det faktisk var en ny stamme av ransomware kalt CryCryptor. Ved første øyekast så det ut som kampanjen var hjernen til en sofistikert nettkriminell gjeng.
Table of Contents
Cybercrooks drar nytte av COVID-19-pandemien igjen
De ondsinnede nettsteder ble opprettet bare dager etter at Justin Trudeau, Canadas statsminister, kunngjorde at regjeringen støtter utviklingen av en COVID-19-sporingssøknad. I likhet med andre land rundt om i verden er Canada i ferd med å lansere en app som skal varsle folk som har vært i nær kontakt med bekreftede coronavirus-tilfeller. Applikasjonen er fortsatt under utvikling, og den vil sannsynligvis bli lansert tidlig neste måned. Cyberkriminelle håpet at folk ikke ville være klar over dette.
De la ned mye arbeid i å skjule CryCryptor ransomware som Canadas kommende COVID-19 kontaktsporing-app. Landingssidene gjorde en fin jobb med å etterligne den kanadiske regjeringens nettsted, og som ESETs forskere påpekte, manglet de vanlige grammatiske og stavefeil.
Det var et par avsnitt som introduserte appen og forklarte fordelene, og til venstre for dem var det en gigantisk "Få den på Google Play" -knappen. Forvirrende nok skrev en ganske fin skrift under den nevnte knappen at Google Play fortsatt var i ferd med å godkjenne applikasjonen, og det var grunnen til at nedlasting av appen bare var mulig fra "vår server." Bortsett fra det var det praktisk talt ingenting som kunne gi fra seg svindelen.
Rett etter å ha oppdaget trusselen, varslet ESETs forskere det kanadiske senteret for cybersikkerhet, og innen få timer var de ondsinnede nettstedene nede. Før det skjedde, så ekspertene selvfølgelig nærmere på CryCryptor ransomware.
CryCryptor er ikke en veldig sofistikert trussel
Mange Android-ransomware-stammer unngår den kompliserte virksomheten med å kryptere data og i stedet bare endre enhetens passord. CryCryptor er ikke en av dem.
Ransomware scrambles dataene med AES, legger dem i en fil med .enc-forlengelse og fjerner den originale filen. For hver kryptert fil oppretter ransomware to andre som inneholder et unikt salt og en initialiseringsvektor.
Etter at krypteringen er fullført, forteller CryCryptor brukeren at dataene deres er kryptert og oppfordrer dem til å følge instruksjonene i filen "readme_now.txt". Løsningsnotatet oppgir ikke det faktiske løsepengebeløpet, og gir i stedet brukeren en unik ID og en e-postadresse de trenger for å kontakte. Heldigvis er ikke skurkenes krav så relevante i dette tilfellet fordi filer som er kryptert av CryCryptor, kan hentes gratis.
ESETs forskere omvendt konstruerte ransomware og fant ut at for å unngå å overføre krypteringsnøkkelen til og fra Command & Control server (C&C), hadde skurkene bestemt seg for å lagre den på enheten. Takket være dette kunne sikkerhetsekspertene lage og frigjøre et gratis dekrypteringsverktøy som hjelper brukere berørt av CryCryptor å hente dataene sine uten å betale løsepenger.
Ytterligere etterforskning bekreftet at de kriminelle var ganske late da de forberedte den tekniske siden av angrepet. De gadd ikke engang å komme med sin egen ransomware-familie. I stedet baserte de CryCryptor på CryDroid, en Android-ransomware-stamme som nylig ble åpnet gjennom GitHub.
Problemet med open-source ransomware
Read Me-filen i CryDroids depot sier at forfatteren er en sikkerhetsekspert som ønsker å dele koden med andre forskere, og at skadelig programvare ikke skal brukes til å angripe uskyldige ofre. Det er klart at dette ikke hindret netkriminelle i å misbruke det. Faktisk ble koden offentlig 11. juni, og bare en uke senere var den allerede omlagt og klar til å slippes løs på kanadiske brukere.
Det er ikke første gang dette har skjedd. I 2015 brukte en sikkerhetsekspert GitHub til å dele en Windows-ransomware-trussel kalt Hidden Tear for det han hevdet var forskningsformål. Han skapte utilsiktet et bredt utvalg av filkrypterende trusler som fortsetter å plage brukere til i dag. De fleste kampanjer basert på offentlig tilgjengelig skadelig programvare kan være små og relativt ufarlige, men det endrer ikke det faktum at selv med de beste intensjoner i verden, gjør on-sourcing ondsinnet kode det enklere for cyberkriminelle. I denne tiden skal sikkerhetseksperter vite bedre enn dette.