Cercetătorii ESET au descoperit un nou atac ransomware Android și oferă un instrument de decriptare

2020-06-25

O nouă familie ransomware, pe care ESET a detectat-o drept CryCryptor, a vizat utilizatorii Android din Canada, fiind disimulată drept o aplicație oficială de urmărire a evoluției COVID-19. ESET a pus capăt acestui atac.

Grație unui tweet care anunța descoperirea a ceea ce se credea inițial a fi un malware bancar Android, cercetătorii ESET au identificat o operațiune ransomware care vizează utilizatorii Android din Canada. Folosind două site-uri web cu temă COVID-19, atacatorii din spatele operațiunii îndemnau oamenii să descarce o aplicație (la bază un cod ransomware mascat sub aparența unei aplicații utile) sub pretextul că oferă un instrument oficial de urmărire a cazurilor de COVID-19. În prezent, ambele site-uri web sunt închise. Cercetătorii ESET au dezvoltat un instrument de decriptare pentru victimele CryCryptor, exploatând un bug din aplicația rău intenționată.

„CryCryptor conține un bug în codul său care permite oricărei aplicații instalate pe dispozitivul afectat să lanseze orice serviciu furnizat de această aplicație malițioasă. Așadar, am creat o aplicație care lansează funcționalitatea de decriptare încorporată în CryCryptor ”, explică Lukáš Štefanko, specialistul ESET care a condus cercetarea.

Lansarea acestei operațiunii ransomware, inclusiv momentul acesteia, coincide cu anunțul guvernului canadian despre intenția de a sprijini dezvoltarea unei aplicații de urmărire voluntară la nivel național, care va fi numită Alertă COVID (COVID Alert).

„Cu siguranță, operațiunea care utilizează codul ransomware CryCryptor a fost concepută pentru a duplica aplicația oficială de urmărire COVID-19”, a declarat Štefanko.

Această aplicație nu mai reprezintă în prezent o amenințare: site-urile web malițioase au fost închise, furnizorii de soluții de securitate au fost notificați și a fost oferit un instrument de decriptare. Totuși, acest lucru este valabil numai pentru această versiune a CryCryptor.

CryCryptor se bazează pe un cod sursă deschis. „Am notificat GitHub, unde este găzduit codul, dar aceștia nu sunt recunoscuți neapărat pentru rapiditatea cu care elimină proiectele rău intenționate”, comentează Štefanko.

Produsele ESET oferă protecție împotriva ransomware-ului CryCryptor, detectându-l ca Android / CryCryptor.A.

„Pe lângă utilizarea unei soluții  de securitate pentru smartphone-uri si tablete Android de calitate, sfătuim utilizatorii Android să instaleze aplicațiile numai din surse sigure, cum ar fi magazinul Google Play”, încheie Štefanko, cercetător ESET.

Pentru mai multe detalii, puteți accesa blogul WeLiveSecurity  pentru a consulta articolul complet „New ransomware uses COVID-19 tracing guise to target Canada; ESET offers decryptor”.