在加拿大使用伪造的COVID-19追踪应用程序隐藏了名为CryCryptor的Android勒索软件

周二，一位由Twitter负责人Re-ind的独立反向工程师偶然发现了几个最近注册的域，试图推送一个恶意的Android应用程序。 Re-ind的初步调查表明，骗子正在散布一个银行木马，但在ESET的研究人员仔细研究之后 ，他们意识到这实际上是一种名为CryCryptor的新型勒索软件。乍一看，该竞选似乎是一个复杂的网络犯罪团伙的创意。

赛博骗子再次利用了COVID-19大流行

恶意网站是在加拿大总理贾斯汀·特鲁多（Justin Trudeau）宣布政府支持开发COVID-19联系人跟踪应用程序几天后才建立的。像世界上其他国家一样，加拿大正在启动一个应用程序，该应用程序应提醒已经与确诊冠状病毒病例密切联系的人们。该应用程序仍在开发中，很可能在下个月初启动。网络犯罪分子希望人们不会意识到这一点。

他们花了很大力气将CryCryptor勒索软件伪装成加拿大即将推出的COVID-19联系人跟踪应用程序。登陆页面在模仿加拿大政府网站方面做得很好，而且，正如ESET的研究人员指出的那样，通常的语法和拼写错误都丢失了。

有几个段落介绍了该应用程序并说明了它的好处，在它们的左侧，有一个巨大的“在Google Play上获取它”按钮。令人困惑的是，在该按钮下方的一处相当不错的打印文字显示Google Play仍在批准该应用程序，这就是为什么只能从“我们的服务器”下载该应用程序的原因。除此之外，几乎没有任何东西可以消除骗局。

发现威胁后不久，ESET的研究人员通知了加拿大网络安全中心，数小时之内，恶意网站就关闭了。当然，在此之前，专家们仔细研究了CryCryptor勒索软件。

CryCryptor不是一个非常复杂的威胁

许多Android勒索软件可以避免繁琐的数据加密工作，而只需更改设备的密码即可。 CryCryptor不是其中之一。

勒索软件使用AES对数据进行加密，将其放入扩展名为.enc的文件中，然后删除原始文件。对于每个加密文件，勒索软件都会创建另外两个包含唯一盐和初始化向量的文件。

加密完成后，CryCryptor告知用户其数据已加密，并敦促他们遵循“ readme_now.txt”文件中的说明。赎金记录没有说明实际的赎金数额，而是为用户提供了他们需要联系的唯一ID和电子邮件地址。幸运的是，在这种特殊情况下，骗子的要求并不重要，因为可以免费检索CryCryptor加密的文件。

ESET的研究人员对勒索软件进行了反向工程，结果发现，为了避免将加密密钥往返于Command＆Control服务器（C＆C）进行转移，骗子们决定将其存储在设备上。因此，安全专家能够创建并发布免费的解密工具，该工具可帮助受CryCryptor影响的用户无需支付赎金即可检索其数据。

进一步调查证实，罪犯在准备攻击的技术方面时比较懒惰。他们甚至都不费心思提出自己的勒索软件系列。相反，他们将CryCryptor基于CryDroid，这是一个Android勒索软件，最近通过GitHub开源。

开源勒索软件的问题

CryDroid存储库中的“自述文件”说，作者是一位安全专家，希望与其他研究人员共享代码，并且不应将恶意软件用于攻击无辜的受害者。显然，这并没有阻止网络犯罪分子滥用它。实际上，该代码已于6月11日公开，仅一周后，它已被更名并准备向加拿大用户发布。

这也不是第一次。 2015年，一名安全专家使用GitHub共享了一个名为Hidden Tear的Windows勒索软件威胁，其目的是为了研究目的。他无意间产生了各种各样的文件加密威胁，直到今天仍在折磨着用户。大多数基于公开可用的恶意软件的活动可能规模较小且相对无害，但这并不能改变这样一个事实，即即使是出于全球最佳意图，开源恶意代码也使网络犯罪分子的生活变得更加轻松。在当今时代，安全专家应该比这更了解。