Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нової програми-вимагача CryCryptor, націленої на користувачів Android. Шкідливе програмне забезпечення поширювалось через два веб-сайти під виглядом додатка для відстеження поширення COVID-19 у Канаді.
Варто зазначити, що дослідники ESET вже випустили додаток для розшифрування даних користувачів, які стали жертвами CryCryptor.
«CryCryptor містить помилку в коді, яка дозволяє будь-якій програмі, встановленій на інфікованому пристрої, запускати функції шкідливого додатку. Тому дослідники ESET створили програмне забезпечення, яке запускає дешифрування, вбудоване в CryCryptor», — пояснює Лукаш Стефанко, дослідник ESET.
Після запуску програма-вимагач відправляє запит на отримання доступу до даних на пристрої. Отримавши цей дозвіл, шкідливе програмне забезпечення шифрує файли на зовнішніх носіях. Далі програма-вимагач відображає сповіщення про те, що файли зашифровано та пропонує прочитати документ readme_now.txt, який розміщується у кожному каталозі із зашифрованими файлами.
Програма-вимагач базується на відкритому вихідному коді з GitHub. Спеціалісти ESET виявили це через простий пошук з використанням назви пакета програми та декількох рядків, які виглядали унікальними.
Розробники відкритого коду програми-вимагача, які назвали його CryDroid, імовірно, знали, що код буде використовуватися в зловмисних цілях. Намагаючись замаскувати проект під дослідження, розробники стверджують, що завантажили код у сервіс VirusTotal. Хоча достеменно незрозуміло, хто саме завантажив зразок, він дійсно з'явився на VirusTotal того ж дня, коли код був опублікований на GitHub.
І хоча програма націлена переважно на канадських користувачів, для запобігання подальшого поширення загрози спеціалісти ESET рекомендують встановлювати додатки лише з офіційних магазинів та використовувати надійні рішення для захисту мобільних пристроїв.