Android Ransomware o nazwie CryCryptor jest ukryty przy użyciu fałszywej aplikacji do śledzenia COVID-19 w Kanadzie
We wtorek niezależny inżynier odwrotności, przechodząc przez Re-ind na Twitterze, natknął się na kilka ostatnio zarejestrowanych domen próbujących pchnąć złośliwą aplikację na Androida. Wstępne dochodzenie Re-ind sugerowało, że oszuści dystrybuowali trojana bankowego, ale gdy badacze z ESET przyjrzeli się bliżej, zdali sobie sprawę, że tak naprawdę jest to nowa odmiana oprogramowania ransomware o nazwie CryCryptor. Na pierwszy rzut oka wyglądało na to, że kampania była pomysłem wyrafinowanego gangu cyberprzestępczego.
Table of Contents
Cyberprzestępcy ponownie korzystają z pandemii COVID-19
Szkodliwe strony internetowe zostały utworzone zaledwie kilka dni po tym, jak Justin Trudeau, premier Kanady ogłosił, że rząd wspiera rozwój aplikacji do śledzenia kontaktów COVID-19. Podobnie jak inne kraje na całym świecie, Kanada jest w trakcie uruchamiania aplikacji, która ma ostrzegać osoby, które miały bliski kontakt z potwierdzonymi przypadkami koronawirusa. Aplikacja jest wciąż w fazie rozwoju i najprawdopodobniej zostanie uruchomiona na początku przyszłego miesiąca. Cyberprzestępcy mieli nadzieję, że ludzie nie będą tego świadomi.
Włożyli wiele wysiłku w ukrycie ransomware CryCryptor jako nadchodzącej kanadyjskiej aplikacji do śledzenia kontaktów COVID-19. Strony docelowe świetnie się podszywały pod stronę internetową rządu Kanady i, jak zauważyli badacze ESET, brakowało zwykłych błędów gramatycznych i ortograficznych.
Było kilka akapitów przedstawiających aplikację i wyjaśniających jej zalety, a po lewej stronie był gigantyczny przycisk „Get it on Google Play”. Mylące, dość drobny druk pod wspomnianym przyciskiem informuje, że Google Play wciąż zatwierdza aplikację, dlatego pobieranie aplikacji było możliwe tylko z „naszego serwera”. Poza tym praktycznie nic nie mogło zdradzić oszustwa.
Krótko po odkryciu zagrożenia badacze ESET powiadomili Kanadyjskie Centrum Bezpieczeństwa Cybernetycznego, aw ciągu kilku godzin złośliwe strony przestały działać. Oczywiście zanim to się stało, eksperci przyjrzeli się bliżej oprogramowaniu ransomware CryCryptor.
CryCryptor nie jest bardzo zaawansowanym zagrożeniem
Wiele odmian ransomware dla Androida unika skomplikowanej działalności związanej z szyfrowaniem danych i zamiast tego po prostu zmienia hasło urządzenia. CryCryptor nie jest jednym z nich.
Ransomware szyfruje dane za pomocą AES, umieszcza je w pliku z rozszerzeniem .enc i usuwa oryginalny plik. Dla każdego zaszyfrowanego pliku ransomware tworzy dwa inne, które zawierają unikalną sól i wektor inicjujący.
Po zakończeniu szyfrowania CryCryptor informuje użytkownika, że jego dane zostały zaszyfrowane i zachęca go do wykonania instrukcji zawartych w pliku „readme_now.txt”. Nota o okupie nie podaje faktycznej kwoty okupu, a zamiast tego daje użytkownikowi unikatowy identyfikator i adres e-mail, z którym należy się skontaktować. Na szczęście wymagania oszustów nie są tak istotne w tym konkretnym przypadku, ponieważ pliki zaszyfrowane przez CryCryptor można odzyskać za darmo.
Badacze ESET dokonali inżynierii wstecznej oprogramowania ransomware i odkryli, że aby uniknąć przeniesienia klucza szyfrującego do i z serwera Command & Control (C&C), oszuści postanowili przechowywać go na urządzeniu. Dzięki temu eksperci ds. Bezpieczeństwa byli w stanie stworzyć i wydać bezpłatne narzędzie deszyfrujące, które pomaga użytkownikom dotkniętym przez CryCryptor odzyskać swoje dane bez płacenia okupu.
Dalsze dochodzenie potwierdziło, że przestępcy byli raczej leniwi, przygotowując techniczną stronę ataku. Nawet nie zadali sobie trudu wymyślenia własnej rodziny oprogramowania ransomware. Zamiast tego oparli CryCryptor na CryDroid, szczepie ransomware dla Androida, który został niedawno otwarty za pośrednictwem GitHub.
Problem z oprogramowaniem ransomware typu open source
Plik Read Me w repozytorium CryDroid mówi, że autor jest ekspertem ds. Bezpieczeństwa, który chce udostępnić kod innym badaczom i że złośliwego oprogramowania nie należy wykorzystywać do atakowania niewinnych ofiar. Oczywiście nie powstrzymało to cyberprzestępców od nadużywania go. W rzeczywistości kod został upubliczniony 11 czerwca, a zaledwie tydzień później został już przemianowany i gotowy do wypuszczenia na rynek w Kanadzie.
To też nie jest pierwszy raz. W 2015 r. Ekspert ds. Bezpieczeństwa wykorzystał GitHub do podzielenia się zagrożeniem ransomware dla systemu Windows o nazwie Hidden Tear do celów badawczych. Nieumyślnie pojawił się szereg zagrożeń związanych z szyfrowaniem plików, które do dziś dręczą użytkowników. Większość kampanii opartych na publicznie dostępnym złośliwym oprogramowaniu może być niewielka i stosunkowo nieszkodliwa, ale to nie zmienia faktu, że nawet przy najlepszych intencjach na świecie złośliwy kod typu open source znacznie ułatwia życie cyberprzestępcom. W dzisiejszych czasach eksperci ds. Bezpieczeństwa powinni wiedzieć lepiej.
