25 czerwca 2020

Miała pomóc w walce z koronawirusem. Zamiast tego szyfrowała telefon

Badacze ESET odkryli nową aplikację na Androida, która podszywając się pod oficjalną aplikację do monitorowania kontaktów z osobami zrażonymi koronawirusem, infekowała smartfony użytkowników i szyfrowała ich dane.

Ransomware zidentyfikowany przez badaczy ESET jako CryCryptor podszywał się pod oficjalną aplikację służącą do monitorowania kontaktów z osobami zarażonymi COVID-19 przygotowaną przez kanadyjskie władze. Do infekcji urządzenia dochodziło za pośrednictwem jednej z dwóch specjalnie spreparowanych stron internetowych. Ofiary pobierały z nich aplikację, która po instalacji szyfrowała wszystkie dane użytkownika zgromadzone na urządzeniu.

Krótko po zidentyfikowaniu zagrożenia strony internetowe wykorzystywane do jego dystrybucji zostały zlikwidowane, a korzystając z luki w kodzie wirusa ekspertom ESET udało się przygotować narzędzie deszyfrujące, z którego pomocą ofiary mogą odzyskać dostęp do swoich danych.

- CryCryptor posiada błąd w swoim kodzie źródłowym, który umożliwia dowolnej aplikacji zainstalowanej na zainfekowanym urządzeniu wywołać dowolną funkcję wirusa. W ten sposób przygotowaliśmy narzędzie, które aktywuje funkcję odszyfrowywania bezpośrednio w CryCryptorze

Lukáš Štefanko
analityk zagrożeń w ESET, który stał na czele badań nad omawianym ransomware

Choć zagrożenie ze strony opisywanej kampanii zostało zażegnane, nie oznacza to, że ransomware przestał być niebezpieczny. Kod CryCryptora jest publicznie dostępny na platformie GitHub. Jej administratorzy zostali poinformowani o sytuacji, jednak do tej pory nie został on usunięty.

Ze względu na stale występujące zagrożenie, Lukáš Štefanko radzi, by na swoim smartfonie mieć zainstalowane skuteczne oprogramowanie antywirusowe. Produkty ESET pomagają chronić przed wirusem CryCryptor, wykrywając go jako Android/CryCryptor.A.

Nie tylko Kanada

Opisywany incydent nie jest jedynym tego typu przypadkiem na świecie. Przestępcy chętnie podszywają się pod aplikacje do monitorowania kontaktów, co potwierdza m.in. niedawny raport firmy Anomali, która zidentyfikowała 12 takich przypadków na całym świecie. Niewykluczone, że podobny incydent może wydarzyć się także w Polsce, stąd eksperci ESET radzą, by podczas instalowania nowych aplikacji na swoim urządzeniu przestrzegać kilku podstawowych zasad, w tym m.in. by nie instalować aplikacji spoza Sklepu Google Play oraz dokładnie sprawdzić twórcę i opinie zamieszczone przez innych użytkowników.

- Poza korzystaniem ze skutecznego pakietu bezpieczeństwa dla urządzeń mobilnych, zalecamy użytkownikom Androida, by nie instalowali aplikacji spoza sprawdzonych źródeł, takich jak Sklep Google Play

Lukáš Štefanko
ESET

Więcej na temat zagrożenia CryCryptor można przeczytać w artykule na blogu WeLiveSecurity: „New ransomware uses COVID-19 tracing guise to target Canada; ESET offers decryptor” (EN)

Autorem tekstu jest Arkadiusz Bała

Grzegorz Klocek

Grzegorz Klocek
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34

Podobne wpisy: