在加拿大使用偽造的COVID-19追踪應用程序隱藏了名為CryCryptor的Android勒索軟件

CryCryptor Android Ransomware Poses As a Fake Canadian COVID-19 Contact Tracing App

週二,一位由Twitter負責人Re-ind的獨立反向工程師偶然發現了幾個最近註冊的域,試圖推送一個惡意的Android應用程序。 Re-ind的初步調查表明,騙子正在散佈銀行木馬,但在ESET的研究人員仔細研究之後 ,他們意識到這實際上是一種名為CryCryptor的新型勒索軟件。乍一看,該競選似乎是一個複雜的網絡犯罪團伙的創意。

賽博騙子再次利用了COVID-19大流行

惡意網站是在加拿大總理賈斯汀·特魯多(Justin Trudeau)宣布政府支持開發COVID-19聯繫人跟踪應用程序幾天后才建立的。像世界上其他國家一樣,加拿大正在啟動一個應用程序,該應用程序應提醒已經與確診冠狀病毒病例密切聯繫的人們。該應用程序仍在開發中,很可能在下個月初啟動。網絡犯罪分子希望人們不會意識到這一點。

他們花了很大力氣將CryCryptor勒索軟件偽裝成加拿大即將推出的COVID-19聯繫人跟踪應用程序。登陸頁面在模仿加拿大政府網站方面做得很好,而且,正如ESET的研究人員指出的那樣,通常的語法和拼寫錯誤均已丟失。

有幾個段落介紹了該應用程序並說明了它的好處,在它們的左側,有一個巨大的“在Google Play上獲取它”按鈕。令人困惑的是,在該按鈕下方的一處相當不錯的打印文字顯示Google Play仍在批准該應用程序,這就是為什麼只能從“我們的服務器”下載該應用程序的原因。除此之外,幾乎沒有任何東西可以消除騙局。

發現威脅後不久,ESET的研究人員通知了加拿大網絡安全中心,數小時之內,惡意網站就關閉了。當然,在此之前,專家們仔細研究了CryCryptor勒索軟件。

CryCryptor不是一個非常複雜的威脅

許多Android勒索軟件可以避免繁瑣的數據加密工作,而只需更改設備的密碼即可。 CryCryptor不是其中之一。

勒索軟件使用AES對數據進行加密,將其放入擴展名為.enc的文件中,然後刪除原始文件。對於每個加密文件,勒索軟件都會創建另外兩個包含唯一鹽和初始化向量的文件。

加密完成後,CryCryptor告知用戶其數據已經加密,並敦促他們遵循“ readme_now.txt”文件中的說明。贖金記錄沒有說明實際的贖金金額,而是為用戶提供了他們需要聯繫的唯一ID和電子郵件地址。幸運的是,在這種特殊情況下,騙子的要求並不重要,因為可以免費檢索CryCryptor加密的文件。

ESET的研究人員對勒索軟件進行了反向工程,結果發現,為了避免將加密密鑰與Command&Control服務器(C&C)進行來回傳輸,騙子決定將其存儲在設備上。因此,安全專家能夠創建和發布免費的解密工具,該工具可以幫助受CryCryptor影響的用戶檢索其數據而無需支付贖金。

進一步的調查證實,罪犯在準備攻擊的技術方面時比較懶惰。他們甚至都不費心思提出自己的勒索軟件系列。相反,他們將CryCryptor基於CryDroid,這是一種Android勒索軟件,最近通過GitHub開源。

開源勒索軟件的問題

CryDroid存儲庫中的“自述文件”說,作者是一位安全專家,希望與其他研究人員共享代碼,並且不應將惡意軟件用於攻擊無辜的受害者。顯然,這並沒有阻止網絡犯罪分子濫用它。實際上,該代碼已於6月11日公開,僅一周後,它已被更名並準備向加拿大用戶發布。

這也不是第一次。 2015年,一名安全專家使用GitHub共享了一種名為Hidden Tear的Windows勒索軟件威脅,其目的是出於研究目的。他無意間產生了各種各樣的文件加密威脅,直到今天仍在折磨著用戶。大多數基於公開可用的惡意軟件的活動可能規模較小且相對無害,但這並不能改變這樣一個事實,即即使是出於全球最佳意圖,開源惡意代碼也使網絡犯罪分子的生活變得更加輕鬆。在當今時代,安全專家應該比這更了解。

June 26, 2020

發表評論