Android-вымогатель под названием CryCryptor скрывается с помощью поддельного приложения для отслеживания COVID-19 в Канаде
Во вторник независимый реверс-инженер, работающий под руководством Твиттера Re-ind, наткнулся на пару недавно зарегистрированных доменов, пытающихся внедрить вредоносное Android-приложение. Первоначальное расследование, проведенное Re-ind, показало, что мошенники распространяли банковский троян, но после того, как исследователи из ESET присмотрелись поближе, они поняли, что на самом деле это новая разновидность вымогателей под названием CryCryptor. На первый взгляд, похоже, что кампания была детищем сложной киберпреступной банды.
Table of Contents
Cybercrooks снова воспользовались пандемией COVID-19
Вредоносные сайты были созданы всего через несколько дней после того, как премьер-министр Канады Джастин Трюдо объявил, что правительство поддерживает разработку приложения отслеживания контактов COVID-19. Как и в других странах мира, Канада находится в процессе запуска приложения, которое должно предупреждать людей, которые были в тесном контакте с подтвержденными случаями коронавируса. Приложение все еще находится в стадии разработки, и, скорее всего, оно будет запущено в начале следующего месяца. Киберпреступники надеялись, что люди не будут знать об этом.
Они приложили немало усилий, чтобы замаскировать CryCryptor Ransomware в качестве грядущего канадского приложения для отслеживания контактов COVID-19. Целевые страницы отлично подражали веб-сайту канадского правительства, и, как отмечали исследователи ESET, обычные грамматические и орфографические ошибки отсутствовали.
Было несколько параграфов, представляющих приложение и объясняющих его преимущества, а слева от них была гигантская кнопка «Получить его в Google Play». Забавно, что довольно мелкий шрифт под указанной кнопкой гласил, что Google Play все еще находится в процессе утверждения приложения, поэтому загрузка приложения была возможна только с «нашего сервера». Кроме того, практически не было ничего, что могло бы выдать мошенников.
Вскоре после обнаружения угрозы исследователи ESET уведомили Канадский центр кибербезопасности, и через несколько часов вредоносные веб-сайты были закрыты. Конечно, до того, как это произошло, эксперты внимательно изучили программу-вымогатель CryCryptor.
CryCryptor не очень сложная угроза
Многие программы-вымогатели Android избегают сложного бизнеса по шифрованию данных и вместо этого просто меняют пароль устройства. CryCryptor не один из них.
Программа-вымогатель скремблирует данные с помощью AES, помещает их в файл с расширением .enc и удаляет исходный файл. Для каждого зашифрованного файла вымогатель создает два других, которые содержат уникальную соль и вектор инициализации.
После завершения шифрования CryCryptor сообщает пользователю, что его данные были зашифрованы, и призывает их следовать инструкциям в файле readme_now.txt. В записке о выкупе не указывается фактическая сумма выкупа, а вместо этого дается пользователю уникальный идентификатор и адрес электронной почты, с которыми он должен связаться. К счастью, требования мошенников не столь актуальны в данном конкретном случае, потому что файлы, зашифрованные CryCryptor, можно получить бесплатно.
Исследователи ESET повторно разработали программу-вымогатель и обнаружили, что во избежание передачи ключа шифрования на сервер управления и контроля (C & C) мошенники решили сохранить его на устройстве. Благодаря этому эксперты по безопасности смогли создать и выпустить бесплатный инструмент для расшифровки, который поможет пользователям, пострадавшим от CryCryptor, получить свои данные без выплаты выкупа.
Дальнейшее расследование подтвердило, что преступники были довольно ленивы, когда готовили техническую сторону своего нападения. Они даже не удосужились придумать свою собственную семью вымогателей. Вместо этого они основали CryCryptor на CryDroid, разновидности вымогателей Android, которая недавно была открыта через GitHub.
Проблема с открытым исходным кодом вымогателей
Файл Read Me в репозитории CryDroid говорит, что автор является экспертом по безопасности, который хочет поделиться кодом с коллегами-исследователями и что вредоносное ПО не должно использоваться для нападения на невинных жертв. Очевидно, это не помешало киберпреступникам злоупотреблять им. Фактически, код стал общедоступным 11 июня, и всего через неделю он был уже переименован и готов к использованию канадскими пользователями.
Это не первый раз, когда это происходит. В 2015 году эксперт по безопасности использовал GitHub для распространения угрозы вымогателей Windows под названием Hidden Tear для исследовательских целей. Он непреднамеренно породил широкий спектр угроз шифрования файлов, которые продолжают мучить пользователей и по сей день. Большинство кампаний, основанных на общедоступных вредоносных программах, могут быть небольшими и относительно безвредными, но это не меняет того факта, что даже при самых лучших намерениях в мире вредоносный код с открытым исходным кодом делает жизнь киберпреступников намного проще. В наши дни эксперты по безопасности должны знать лучше, чем это.
