在加拿大使用伪造的COVID-19追踪应用程序隐藏了名为CryCryptor的Android勒索软件

CryCryptor Android Ransomware Poses As a Fake Canadian COVID-19 Contact Tracing App

周二,一位由Twitter负责人Re-ind的独立反向工程师偶然发现了几个最近注册的域,试图推送一个恶意的Android应用程序。 Re-ind的初步调查表明,骗子正在散布一个银行木马,但在ESET的研究人员仔细研究之后 ,他们意识到这实际上是一种名为CryCryptor的新型勒索软件。乍一看,该竞选似乎是一个复杂的网络犯罪团伙的创意。

赛博骗子再次利用了COVID-19大流行

恶意网站是在加拿大总理贾斯汀·特鲁多(Justin Trudeau)宣布政府支持开发COVID-19联系人跟踪应用程序几天后才建立的。像世界上其他国家一样,加拿大正在启动一个应用程序,该应用程序应提醒已经与确诊冠状病毒病例密切联系的人们。该应用程序仍在开发中,很可能在下个月初启动。网络犯罪分子希望人们不会意识到这一点。

他们花了很大力气将CryCryptor勒索软件伪装成加拿大即将推出的COVID-19联系人跟踪应用程序。登陆页面在模仿加拿大政府网站方面做得很好,而且,正如ESET的研究人员指出的那样,通常的语法和拼写错误都丢失了。

有几个段落介绍了该应用程序并说明了它的好处,在它们的左侧,有一个巨大的“在Google Play上获取它”按钮。令人困惑的是,在该按钮下方的一处相当不错的打印文字显示Google Play仍在批准该应用程序,这就是为什么只能从“我们的服务器”下载该应用程序的原因。除此之外,几乎没有任何东西可以消除骗局。

发现威胁后不久,ESET的研究人员通知了加拿大网络安全中心,数小时之内,恶意网站就关闭了。当然,在此之前,专家们仔细研究了CryCryptor勒索软件。

CryCryptor不是一个非常复杂的威胁

许多Android勒索软件可以避免繁琐的数据加密工作,而只需更改设备的密码即可。 CryCryptor不是其中之一。

勒索软件使用AES对数据进行加密,将其放入扩展名为.enc的文件中,然后删除原始文件。对于每个加密文件,勒索软件都会创建另外两个包含唯一盐和初始化向量的文件。

加密完成后,CryCryptor告知用户其数据已加密,并敦促他们遵循“ readme_now.txt”文件中的说明。赎金记录没有说明实际的赎金数额,而是为用户提供了他们需要联系的唯一ID和电子邮件地址。幸运的是,在这种特殊情况下,骗子的要求并不重要,因为可以免费检索CryCryptor加密的文件。

ESET的研究人员对勒索软件进行了反向工程,结果发现,为了避免将加密密钥往返于Command&Control服务器(C&C)进行转移,骗子们决定将其存储在设备上。因此,安全专家能够创建并发布免费的解密工具,该工具可帮助受CryCryptor影响的用户无需支付赎金即可检索其数据。

进一步调查证实,罪犯在准备攻击的技术方面时比较懒惰。他们甚至都不费心思提出自己的勒索软件系列。相反,他们将CryCryptor基于CryDroid,这是一个Android勒索软件,最近通过GitHub开源。

开源勒索软件的问题

CryDroid存储库中的“自述文件”说,作者是一位安全专家,希望与其他研究人员共享代码,并且不应将恶意软件用于攻击无辜的受害者。显然,这并没有阻止网络犯罪分子滥用它。实际上,该代码已于6月11日公开,仅一周后,它已被更名并准备向加拿大用户发布。

这也不是第一次。 2015年,一名安全专家使用GitHub共享了一个名为Hidden Tear的Windows勒索软件威胁,其目的是为了研究目的。他无意间产生了各种各样的文件加密威胁,直到今天仍在折磨着用户。大多数基于公开可用的恶意软件的活动可能规模较小且相对无害,但这并不能改变这样一个事实,即即使是出于全球最佳意图,开源恶意代码也使网络犯罪分子的生活变得更加轻松。在当今时代,安全专家应该比这更了解。

June 26, 2020

发表评论