Novi Android ransomware predstavlja se kao aplikacija za praćenje COVID-19

Mobilni telefoni, 25.06.2020, 09:30 AM

Istraživači iz kompanije ESET upozorili su ove nedelje na ransomware koji se pojavio samo nekoliko dana nakon što je Health Canada najavio aplikaciju COVID Alert, koja će prvi put biti testirana u Ontariju pre nego što bude dostupna širom zemlje.

Iako bi zvanična aplikacija trebalo da bude dostupna korisnicima mobilnih uređaja najranije sledećeg meseca, sajber-kriminalci pokušavaju da iskoriste najavu vlade svojom Android aplikacijom koja se predstavlja kao kanadska zvanična aplikacija za praćenje COVID-19.

Prema rečima istraživača, dva veb sajta nude aplikaciju Health Canada za praćenje COVID-19. Međutim, domeni tracershield[.]ca i covid19tracer[.]ca zapravo hostuju APK-ove koji, kada se preuzmu, instaliraju CryCryptor ransomware na Android uređajima.

Ransomware je prvi put privukao pažnju ESET-a zahvaljujući korisniku Twittera @ReBensk koji je upozorio da ovi APK-ovi kriju bankarskog trojanca, ali nakon detaljnije analize koda pokazalo se da je malver novi ransomware.

Ako korisnik Androida preuzme APK sa ovih domena i instalira aplikaciju, malver zahteva pristup fajlovima i započinje šifrovanje sadržaja na uređaju sa određenim ekstenzijama, uključujući i .PNG.

.ENC se dodaje šifrovanim fajlovima. Tekstualni fajl sa zahtevom za otkupninu ostavlja se u svakom folderu gde se čuvaju šifrovani fajlovi.

ESET je uspeo da napravi alat za dešifrovanje za trenutnu verziju Android malvera a alat je dostupan na GitHubu.

Izvorni kod ransomwarea postao je javan 11. juna, a prema rečima istraživača, programer koji je open-source malver nazvao CryDroid, prikrio ga je kao istraživački projekat.

“Odbacujemo tvrdnju da projekat ima istraživačke svrhe - nijedan odgovorni istraživač neće javno objaviti alat koji je lako zloupotrebiti u zlonamerne svrhe”, kaže ESET koji je GitHub upoznao sa pravom prirodom koda.