Android Ransomware Called CryCryptor döljs med en falsk COVID-19-spårningsapp i Kanada
På tisdag snubblat en oberoende omvänd ingenjör som går via Twitter-handtaget Re-ind över ett par nyligen registrerade domäner som försökte driva en skadlig Android-applikation. Re-inds första utredning antydde att skurkarna fördelade en bank-trojan, men efter att forskare från ESET tittade närmare, insåg de att det faktiskt är en ny stam av ransomware som kallas CryCryptor. Vid första anblicken såg det ut som kampanjen var hjärnskölden till en sofistikerad internetkriminell grupp.
Table of Contents
Cybercrooks drar nytta av COVID-19-pandemin igen
De skadliga webbplatserna inrättades bara dagar efter att Justin Trudeau, Kanadas premiärminister, meddelade att regeringen stödjer utvecklingen av en COVID-19-kontaktspårningsapplikation. Liksom andra länder runt om i världen är Kanada på väg att lansera en app som ska varna människor som har varit i nära kontakt med bekräftade coronavirusfall. Applikationen är fortfarande under utveckling och den kommer sannolikt att lanseras i början av nästa månad. Cyberbrottslingarna hoppades att människor skulle vara medvetna om detta.
De satsade mycket på att dölja CryCryptor ransomware som Kanadas kommande COVID-19-kontaktspårningsapp. Landningssidorna gjorde ett bra jobb med att efterge sig den kanadensiska regeringens webbplats, och som ESETs forskare påpekade saknade de vanliga grammatiska och stavfel.
Det fanns ett par stycken som introducerade appen och förklarade dess fördelar, och till vänster om dem fanns det en gigantisk "Get it on Google Play" -knapp. Förvirrande läste ett ganska fint tryck under den nämnda knappen läsa att Google Play fortfarande håller på att godkänna applikationen, varför nedladdningen av appen bara var möjlig från "vår server." Bortsett från det fanns det nästan ingenting som kunde ge bort bedrägeriet.
Strax efter att upptäcka hotet meddelade ESETs forskare det kanadensiska centret för cybersäkerhet, och inom några timmar var de skadliga webbplatserna nere. Innan det hände gick naturligtvis experterna närmare på CryCryptor ransomware.
CryCryptor är inte ett särskilt sofistikerat hot
Många Android-ransomware-stammar undviker den komplicerade affären med att kryptera data och ändra istället enhetens lösenord. CryCryptor är inte en av dem.
Ransomware skrapar data med AES, lägger dem i en fil med .enc-förlängning och tar bort originalfilen. För varje krypterad fil skapar ransomware två andra som innehåller ett unikt salt och en initialiseringsvektor.
När krypteringen är klar berättar CryCryptor användaren att deras data har krypterats och uppmanar dem att följa instruktionerna i filen "readme_now.txt". Lösningsmeddelandet anger inte det faktiska lösenbeloppet och ger istället användaren ett unikt ID och en e-postadress de behöver för att kontakta. Lyckligtvis är skurkarnas krav inte så relevanta i detta fall eftersom filer som är krypterade av CryCryptor kan hämtas gratis.
ESETs forskare omvända ransomware och fann att för att undvika överföring av krypteringsnyckeln till och från Command & Control-servern (C&C) hade skurkarna beslutat att lagra den på enheten. Tack vare detta kunde säkerhetsexperterna skapa och släppa ett gratis dekrypteringsverktyg som hjälper användare som påverkas av CryCryptor att hämta sina data utan att betala lösen.
Ytterligare utredning bekräftade att brottslingarna var ganska lata när de förberedde den tekniska sidan av deras attack. De bry inte ens att komma med sin egen ransomware-familj. Istället baserade de CryCryptor på CryDroid, en Android-ransomware-stam som nyligen öppnades genom GitHub.
Problemet med öppen källkod ransomware
Read Me-filen i CryDroids förvar säger att författaren är en säkerhetsekspert som vill dela koden med andra forskare och att skadlig programvara inte ska användas för att attackera oskyldiga offer. Det är uppenbart att detta inte hindrade cyberbrottslingarna från att missbruka det. I själva verket blev koden offentlig den 11 juni, och bara en vecka senare var den redan omklassificerad och redo att släppas ut för kanadensiska användare.
Det är inte första gången detta händer. 2015 använde en säkerhetsekspert GitHub för att dela ett Windows-ransomware-hot som heter Hidden Tear för vad han hävdade var forskningsändamål. Han skapade oavsiktligt ett brett utbud av filkrypterande hot som fortsätter att plåga användare till denna dag. De flesta kampanjer baserade på offentligt tillgängligt skadlig programvara kan vara små och relativt ofarliga, men det förändrar inte det faktum att även med de bästa avsikterna i världen är det att onda källor skadar koderna i livet mycket lättare. Under denna dag bör säkerhetsexperter veta bättre än detta.
