Android Ransomware chamado CryCryptor é ocultado usando um aplicativo falso de rastreamento COVID-19 no Canadá
Na terça-feira, um engenheiro reverso independente que trabalha com o Twitter, Re-ind, encontrou alguns domínios registrados recentemente, tentando empurrar um aplicativo Android malicioso. A investigação inicial de Re-ind sugeriu que os bandidos estavam distribuindo um trojan bancário, mas depois que os pesquisadores da ESET analisaram mais de perto, perceberam que na verdade era uma nova variedade de ransomware chamada CryCryptor. À primeira vista, parecia que a campanha era fruto de uma sofisticada gangue de criminosos cibernéticos.
Índice
Os cibercriminosos aproveitam novamente a pandemia do COVID-19
Os sites maliciosos foram criados apenas alguns dias depois que Justin Trudeau, primeiro-ministro do Canadá, anunciou que o governo está apoiando o desenvolvimento de um aplicativo de rastreamento de contatos COVID-19. Como outros países ao redor do mundo, o Canadá está no processo de lançar um aplicativo que deve alertar as pessoas que estiveram em contato próximo com casos confirmados de coronavírus. O aplicativo ainda está em desenvolvimento e provavelmente será lançado no início do próximo mês. Os cibercriminosos esperavam que as pessoas não soubessem disso.
Eles se esforçaram muito para disfarçar o ransomware CryCryptor como o próximo aplicativo de rastreamento de contatos COVID-19 do Canadá. As páginas de entrada fizeram um excelente trabalho de representação do site do governo canadense e, como os pesquisadores da ESET apontaram, estavam faltando os erros gramaticais e ortográficos usuais.
Havia alguns parágrafos apresentando o aplicativo e explicando seus benefícios e, à esquerda deles, havia um botão gigante "Adquira no Google Play". Confundidamente, uma boa impressão abaixo do botão dizia que o Google Play ainda estava em processo de aprovação do aplicativo, e é por isso que o download do aplicativo só foi possível no "nosso servidor". Além disso, não havia praticamente nada que pudesse denunciar a fraude.
Logo após descobrir a ameaça, os pesquisadores da ESET notificaram o Centro Canadense de Segurança Cibernética e, em poucas horas, os sites maliciosos estavam inativos. Obviamente, antes que isso acontecesse, os especialistas analisaram mais de perto o ransomware CryCryptor.
CryCryptor não é uma ameaça muito sofisticada
Muitas linhagens de ransomware do Android evitam o negócio complicado de criptografar dados e, em vez disso, simplesmente alteram a senha do dispositivo. CryCryptor não é um deles.
O ransomware embaralha os dados com o AES, coloca-os em um arquivo com extensão .enc e remove o arquivo original. Para cada arquivo criptografado, o ransomware cria outros dois que contêm um sal exclusivo e um vetor de inicialização.
Após a conclusão da criptografia, o CryCryptor informa ao usuário que seus dados foram criptografados e solicita que eles sigam as instruções no arquivo "readme_now.txt". A nota de resgate não indica o valor real do resgate e, em vez disso, fornece ao usuário um ID exclusivo e um endereço de e-mail que eles precisam entrar em contato. Felizmente, as demandas dos bandidos não são tão relevantes nesse caso específico, porque os arquivos criptografados pelo CryCryptor podem ser recuperados gratuitamente.
Os pesquisadores da ESET fizeram a engenharia reversa do ransomware e descobriram que, para evitar a transferência da chave de criptografia de e para o servidor Command & Control (C&C), os criminosos decidiram armazená-lo no dispositivo. Graças a isso, os especialistas em segurança foram capazes de criar e liberar uma ferramenta de descriptografia gratuita que ajuda os usuários afetados pelo CryCryptor a recuperar seus dados sem pagar o resgate.
Investigações posteriores confirmaram que os criminosos eram bastante preguiçosos quando estavam preparando o lado técnico do ataque. Eles nem se deram ao trabalho de criar sua própria família de ransomware. Em vez disso, eles basearam o CryCryptor no CryDroid, uma variedade de ransomware para Android que foi recentemente disponibilizada através do GitHub.
O problema com o ransomware de código aberto
O arquivo Leia-me no repositório da CryDroid diz que o autor é um especialista em segurança que deseja compartilhar o código com outros pesquisadores e que o malware não deve ser usado para atacar vítimas inocentes. Claramente, isso não impediu os cibercriminosos de abusar. De fato, o código tornou-se público em 11 de junho e, apenas uma semana depois, já havia sido renomeado e pronto para ser lançado nos usuários canadenses.
Também não é a primeira vez que isso acontece. Em 2015, um especialista em segurança usou o GitHub para compartilhar uma ameaça de ransomware do Windows chamada Hidden Tear, para o que ele alegou ser fins de pesquisa. Sem querer, ele gerou uma grande variedade de ameaças de criptografia de arquivos que continuam a atormentar os usuários até hoje. A maioria das campanhas baseadas em malware disponível ao público pode ser pequena e relativamente inofensiva, mas isso não muda o fato de que, mesmo com as melhores intenções do mundo, o código malicioso de código aberto facilita a vida dos criminosos cibernéticos. Atualmente, os especialistas em segurança devem saber melhor que isso.
