El nuevo ransomware que se hace pasar por la aplicación de rastreo COVID-19 se dirige a Canadá; ESET ofrece descifrador


Los investigadores de ESET analizan una aplicación de Android que se hace pasar por una aplicación oficial de seguimiento de contactos COVID-19 y encripta archivos en el dispositivo de la víctima

El nuevo ransomware CryCryptor se ha dirigido a usuarios de Android en Canadá, distribuidos a través de dos sitios web bajo la apariencia de una aplicación oficial de rastreo COVID-19 proporcionada por Health Canada. Los investigadores de ESET analizaron el ransomware y crearon una herramienta de descifrado para las víctimas.

CryCryptor apareció solo unos días después del gobierno canadiense oficialmente anunciado su intención de respaldar el desarrollo de una aplicación de seguimiento voluntario a nivel nacional llamada Alerta COVID. La aplicación oficial se lanzará para pruebas en la provincia de Ontario el próximo mes.

ESET informó al Centro Canadiense de Seguridad Cibernética sobre esta amenaza tan pronto como fue identificada.

Figura 1. Uno de los sitios web de distribución maliciosa; el otro tiene un diseño idéntico y solo difiere en su dominio, covid19tracer (.) ca.

Una vez que el usuario es víctima de CryCryptor, el ransomware cifra los archivos en el dispositivo, todos los tipos de archivos más comunes, pero en lugar de bloquear el dispositivo, deja un archivo "readme" con el correo electrónico del atacante en cada directorio con archivos cifrados.

Afortunadamente, pudimos crear una herramienta de descifrado para aquellos que son víctimas de este ransomware.

Después de ver el Pío que trajo este ransomware a nuestro radar (el investigador que lo descubrió etiquetó erróneamente el malware como un troyano bancario), analizamos la aplicación. Descubrimos un error del tipo "Exportación incorrecta de componentes de Android" que MITRE etiqueta como CWE-926.

Debido a este error, cualquier aplicación que esté instalada en el dispositivo afectado puede iniciar cualquier servicio exportado proporcionado por el ransomware. Esto nos permitió crear el herramienta de descifrado – una aplicación que lanza la funcionalidad de descifrado integrada en la aplicación de ransomware por sus creadores.

Cifrado / funcionalidad

Después del lanzamiento, el ransomware solicita acceder a los archivos en el dispositivo. Después de obtener ese permiso, cifra los archivos en medios externos con ciertas extensiones, que se muestran en la Figura 2.

Figura 2. Extensiones de archivo a cifrar

Los archivos seleccionados se cifran con AES con una clave de 16 caracteres generada aleatoriamente. Después de que CryCryptor cifra un archivo, se crean tres archivos nuevos y se elimina el archivo original. El archivo encriptado tiene la extensión de archivo ".Enc" agregado, y el algoritmo genera una sal única para cada archivo cifrado, almacenado con la extensión ".Enc.salt"; y un vector de inicialización, ".Enc.iv"

Figura 3. Archivos después del cifrado

Después de que todos los archivos de destino están encriptados, CryCryptor muestra una notificación "Archivos personales encriptados, consulte readme_now.txt". los readme_now.txt El archivo se coloca en cada directorio con archivos cifrados.

Figura 4. Notificación de cifrado de archivos (izquierda) y contenido del archivo readme_now.txt (derecha)

Descifrado

El servicio responsable del descifrado de archivos en CryCryptor tiene la clave de cifrado almacenada en las preferencias compartidas, lo que significa que no tiene que contactar a ningún C&C para recuperarla. Es importante destacar que el servicio se exporta sin restricciones en el Manifiesto de Android (debilidad de seguridad CWE-926), lo que significa que es posible iniciarlo externamente.

En base a esto, creamos un Android aplicación de descifrado para los afectados con el ransomware CryCryptor. Naturalmente, la aplicación de descifrado solo funciona en esta versión de CryCryptor.

Una nueva familia de ransomware

El ransomware CryCryptor se basa en código fuente abierto en GitHub. Lo descubrimos allí mediante una búsqueda simple basada en el nombre del paquete de la aplicación y algunas cadenas que parecían únicas.

Los desarrolladores del ransomware de código abierto, que lo llamaron CryDroid, deben haber sabido que el código se usaría con fines maliciosos. En un intento de disfrazar el proyecto como investigación, afirman que subieron el código al servicio VirusTotal. Si bien no está claro quién subió la muestra, de hecho apareció en VirusTotal el mismo día que se publicó el código en GitHub.

Figura 5. El ransomware de código abierto

Descartamos la afirmación de que el proyecto tiene fines de investigación: ningún investigador responsable lanzará públicamente una herramienta que sea fácil de usar con fines maliciosos.

Notificamos a GitHub sobre la naturaleza de este código.

Los productos ESET brindan protección contra el ransomware CryCryptor, al detectarlo como Trojan.Android/CryCryptor.A. Además de utilizar una solución de seguridad móvil de calidad, aconsejamos a los usuarios de Android que instalen aplicaciones solo de fuentes confiables como la tienda Google Play.

Cronología:

  • 11 de junio de 2020: código fuente publicado– CryDroid v1.1
  • 11 de junio de 2020: código cargado en VirusTotal
  • 12 de junio de 2020: se registró el primer dominio malicioso que distribuyó esta muestra
  • 18 de junio de 2020: se compiló una aplicación maliciosa (este ransomware de Android) (según su certificado)
  • 21 de junio de 2020: se registró el segundo dominio malicioso que distribuyó esta muestra
  • 23 de junio de 2020: ESET informa al Centro Canadiense de Seguridad Cibernética
  • 23 de junio de 2020: los dos dominios dejaron de responder

Hemos preparado un video que muestra el proceso de cifrado y descifrado, junto con nuestra explicación.

(incrustar) https://www.youtube.com/watch?v=llG_YFVLXyo (/ incrustar)

Indicadores de compromiso (IoC)

Nombre del paquete Picadillo Nombre de detección de ESET
com.crydroid 322AAB72228B1A9C179696E600C1AF335B376655 Trojan.Android/CryCryptor.A

Enlaces de distribución

https: // covid19tracer (.) ca /
https: // tracershield (.) ca /

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1476 Entregar aplicación maliciosa a través de otros medios El malware se descarga del sitio web falso
Acceso inicial T1444 Disfrazarse como aplicación legítima Suplanta la aplicación de seguimiento COVID-19
Persistencia T1402 Inicio automático de la aplicación al iniciar el dispositivo Escucha la transmisión BOOT_COMPLETED, lo que garantiza que la funcionalidad de la aplicación se activará cada vez que se inicie el dispositivo.
Impacto T1471 Datos cifrados para impacto Cifra archivos con extensiones de archivo particulares que se encuentran en medios externos








Enlace a la noticia original