Android-ransomware genaamd CryCryptor wordt verborgen met behulp van een nep-COVID-19-traceerapp in Canada

CryCryptor Android Ransomware Poses As a Fake Canadian COVID-19 Contact Tracing App

Dinsdag stuitte een onafhankelijke reverse-engineer aan de Twitter-handle Re-ind op een paar recent geregistreerde domeinen die probeerden een kwaadaardige Android-applicatie te pushen. Uit het eerste onderzoek van Re-ind kwam naar voren dat de oplichters een banktrojan distribueerden, maar nadat onderzoekers van ESET deze van dichterbij hadden bekeken, realiseerden ze zich dat het eigenlijk een nieuwe soort ransomware is die CryCryptor heet. Op het eerste gezicht leek het erop dat de campagne het geesteskind was van een geavanceerde cybercriminele bende.

Cybercriminelen profiteren weer van de COVID-19-pandemie

De kwaadaardige websites werden opgericht slechts enkele dagen nadat Justin Trudeau, de premier van Canada, had aangekondigd dat de regering de ontwikkeling van een COVID-19-toepassing voor het traceren van contacten ondersteunt. Net als andere landen over de hele wereld, is Canada bezig met het lanceren van een app die mensen moet waarschuwen die in nauw contact zijn geweest met bevestigde gevallen van coronavirus. De applicatie is nog in ontwikkeling en zal waarschijnlijk begin volgende maand worden gelanceerd. De cybercriminelen hoopten dat mensen hiervan niet op de hoogte zouden zijn.

Ze hebben veel moeite gedaan om de CryCryptor-ransomware te verhullen als de aankomende COVID-19-app voor het traceren van contacten in Canada. De bestemmingspagina's deden het uitstekend als de website van de Canadese regering en, zoals de onderzoekers van ESET opmerkten, ontbraken de gebruikelijke grammaticale en spelfouten.

Er waren een paar alinea's waarin de app werd geïntroduceerd en de voordelen ervan werden uitgelegd, en aan de linkerkant was er een gigantische "Download het op Google Play" -knop. Het is verwarrend dat op een nogal kleine lettertjes onder de genoemde knop stond dat Google Play nog bezig was met het goedkeuren van de applicatie. Daarom was het downloaden van de app alleen mogelijk vanaf "onze server". Afgezien daarvan was er vrijwel niets dat de zwendel kon weggeven.

Kort nadat ze de bedreiging hadden ontdekt, brachten de onderzoekers van ESET het Canadian Centre for Cyber Security op de hoogte en binnen enkele uren waren de kwaadaardige websites buiten gebruik. Voordat dat gebeurde, namen de experts natuurlijk de CryCryptor-ransomware onder de loep.

CryCryptor is geen erg geavanceerde bedreiging

Veel soorten Android-ransomware vermijden de ingewikkelde taak om gegevens te versleutelen en veranderen in plaats daarvan gewoon het wachtwoord van het apparaat. CryCryptor is er niet een van.

De ransomware versleutelt de gegevens met AES, plaatst ze in een bestand met de extensie .enc en verwijdert het oorspronkelijke bestand. Voor elk versleuteld bestand creëert de ransomware twee andere die een uniek zout en een initialisatievector bevatten.

Nadat de codering is voltooid, vertelt CryCryptor de gebruiker dat hun gegevens zijn gecodeerd en spoort ze hen aan de instructies in het "readme_now.txt" -bestand te volgen. De losgeldnota vermeldt niet het werkelijke losgeldbedrag en geeft de gebruiker in plaats daarvan een unieke ID en een e-mailadres waarmee ze contact moeten opnemen. Gelukkig zijn de eisen van de oplichters in dit specifieke geval niet zo relevant omdat bestanden die zijn gecodeerd door CryCryptor gratis kunnen worden opgehaald.

De onderzoekers van ESET hebben de ransomware reverse-engineered en kwamen erachter dat de boeven besloten hadden om het op het apparaat op te slaan om te voorkomen dat de coderingssleutel van en naar de Command & Control-server (C&C) werd overgebracht. Dankzij dit konden de beveiligingsexperts een gratis decryptietool maken en vrijgeven waarmee gebruikers die getroffen zijn door CryCryptor hun gegevens kunnen ophalen zonder het losgeld te betalen.

Nader onderzoek bevestigde dat de criminelen nogal lui waren bij het voorbereiden van de technische kant van hun aanval. Ze namen niet eens de moeite om met hun eigen ransomware-familie te komen. In plaats daarvan baseerden ze CryCryptor op CryDroid, een Android-ransomware-soort die onlangs via GitHub open source was.

Het probleem met open source ransomware

Het Read Me-bestand in de opslagplaats van CryDroid zegt dat de auteur een beveiligingsexpert is die de code met collega-onderzoekers wil delen en dat de malware niet mag worden gebruikt voor het aanvallen van onschuldige slachtoffers. Dit weerhield duidelijk niet dat de cybercriminelen het misbruikten. In feite werd de code op 11 juni openbaar en slechts een week later was hij al hernoemd en klaar om te worden losgelaten op Canadese gebruikers.

Dit is ook niet de eerste keer dat dit is gebeurd. In 2015 gebruikte een beveiligingsexpert GitHub om een Windows-gijzelsoftwarebedreiging genaamd Hidden Tear te delen voor wat hij beweerde voor onderzoeksdoeleinden. Hij veroorzaakte onbedoeld een grote verscheidenheid aan bestandsversleutelende bedreigingen die gebruikers tot op de dag van vandaag blijven kwellen. De meeste campagnes op basis van openbaar beschikbare malware zijn misschien klein en relatief onschadelijk, maar dat neemt niet weg dat zelfs met de beste bedoelingen ter wereld, het open-sourcen van schadelijke code het leven van de cybercriminelen een stuk eenvoudiger maakt. In deze tijd zouden beveiligingsexperts beter moeten weten dan dit.

June 26, 2020

Laat een antwoord achter