Een nieuwe ransomwarefamilie, door ESET als CryCryptor gedetecteerd, doelt
op Android-gebruikers in Canada onder het mom van een officiële
COVID-19-traceerapp. ESET maakte een einde aan de aanval.
ESET-onderzoekers
hebben een ransomware-operatie gericht op Android-gebruikers ontdekt, Dit
dankzij een tweet die eigenlijk een ontdekking aankondigde voor een malware
voor Android-bankieren. Met behulp van twee websites met een COVID-19-thema
lokten de aanvallers achter deze operatie mensen om een ransomware-app te
downloaden. Deze was als een officiële COVID-19-traceringstool vermomd. Nu zijn
beide websites niet meer beschikbaar. ESET-onderzoekers schreven een
decryptietool (https://github.com/eset/cry-decryptor)voor de
slachtoffers van CryCryptor, gebaseerd op een bug in de kwaadaardige app.
"CryCryptor bevat een bug in de code waarmee elke
app die op het besmette toestel is geïnstalleerd, elke service van de bug-app
kan starten. Daarom hebben we een app gemaakt die de in CryCryptor ingebouwde
decoderingsfunctionaliteit lanceert ”, verduidelijkt
Lukáš Štefanko die het onderzoek heeft geleid.
Het doelwit
van de ransomware-operatie, alsook de timing ervan, vallen samen met de
aankondiging (announcement) door de Canadese regering van het voornemen om de ontwikkeling van COVID
Alert, een landelijke, vrijwillige traceerapp, te steunen.
"Het is duidelijk dat de operatie met CryCryptor
is ontworpen om mee te liften op de officiële COVID-19-traceerapp", aldus Štefanko.
Nu de
kwaadaardige websites down zijn, beveiligingsleveranciers op de hoogte en
decryptor beschikbaar is, vormt deze app niet langer een bedreiging. Dit geldt
echter alleen voor deze specifieke versie van CryCryptor.
CryCryptor is gebaseerd op een open source-code. "We hebben GitHub, waar de code wordt gehost, op de hoogte
gebracht maar ze hebben geen uitstekende reputatie voor het verwijderen van
kwaadaardige projecten", zegt Štefanko.
De producten van ESET bieden bescherming tegen de CryCryptor-ransomware
en detecteren deze als Android/CryCryptor.A.
"Naast het gebruik van een
hoogwaardige mobiele beveiligingsoplossing, raden we Android-gebruikers aan om
apps alleen te installeren die afkomstig zijn van bekende bronnen zoals de
Google Play Store",
besluit Štefanko.
Lees, voor meer informative, de blog
“New ransomware uses COVID-19 tracing
guise to target Canada; ESET offers decryptor” op WeLiveSecurity. Volg ESET Research op Twitter voor het laatste
nieuws van ESET Research.