Badacze ESET odkryli nową aplikację na Androida, która podszywając się pod oficjalną aplikację do monitorowania kontaktów z osobami zrażonymi koronawirusem, infekowała smartfony użytkowników i szyfrowała ich dane.
Ransomware zidentyfikowany przez badaczy ESET jako CryCryptor podszywał się pod oficjalną aplikację służącą do monitorowania kontaktów z osobami zarażonymi COVID-19 przygotowaną przez kanadyjskie władze. Do infekcji urządzenia dochodziło za pośrednictwem jednej z dwóch specjalnie spreparowanych stron internetowych. Ofiary pobierały z nich aplikację, która po instalacji szyfrowała wszystkie dane użytkownika zgromadzone na urządzeniu.
Krótko po zidentyfikowaniu zagrożenia strony internetowe wykorzystywane do jego dystrybucji zostały zlikwidowane, a korzystając z luki w kodzie wirusa ekspertom ESET udało się przygotować narzędzie deszyfrujące, z którego pomocą ofiary mogą odzyskać dostęp do swoich danych.
- CryCryptor posiada błąd w swoim kodzie źródłowym, który umożliwia dowolnej aplikacji zainstalowanej na zainfekowanym urządzeniu wywołać dowolną funkcję wirusa. W ten sposób przygotowaliśmy narzędzie, które aktywuje funkcję odszyfrowywania bezpośrednio w CryCryptorze – opowiada Lukáš Štefanko, analityk zagrożeń w ESET, który stał na czele badań nad omawianym ransomware.
Choć zagrożenie ze strony opisywanej kampanii zostało zażegnane, nie oznacza to, że ransomware przestał być niebezpieczny. Kod CryCryptora jest publicznie dostępny na platformie GitHub. Jej administratorzy zostali poinformowani o sytuacji, jednak do tej pory nie został on usunięty.
Ze względu na stale występujące zagrożenie, Lukáš Štefanko radzi, by na swoim smartfonie mieć zainstalowane skuteczne oprogramowanie antywirusowe. Produkty ESET pomagają chronić przed wirusem CryCryptor, wykrywając go jako Android/CryCryptor.A.
Nie tylko Kanada
Opisywany incydent nie jest jedynym tego typu przypadkiem na świecie. Przestępcy chętnie podszywają się pod aplikacje do monitorowania kontaktów, co potwierdza m.in. niedawny raport firmy Anomali, która zidentyfikowała 12 takich przypadków na całym świecie. Niewykluczone, że podobny incydent może wydarzyć się także w Polsce, stąd eksperci ESET radzą, by podczas instalowania nowych aplikacji na swoim urządzeniu przestrzegać kilku podstawowych zasad, w tym m.in. by nie instalować aplikacji spoza Sklepu Google Play oraz dokładnie sprawdzić twórcę i opinie zamieszczone przez innych użytkowników.
- Poza korzystaniem ze skutecznego pakietu bezpieczeństwa dla urządzeń mobilnych, zalecamy użytkownikom Androida, by nie instalowali aplikacji spoza sprawdzonych źródeł, takich jak Sklep Google Play – radzi Lukáš Štefanko z ESET.
Więcej na temat zagrożenia CryCryptor można przeczytać w artykule na blogu WeLiveSecurity: „New ransomware uses COVID-19 tracing guise to target Canada; ESET offers decryptor” (EN)