El nuevo ransomware se disfraza como aplicación de seguimiento de contactos COVID-19 en su dispositivo Android


Se está desplegando una nueva variedad de ransomware en los ataques creados a raíz del lanzamiento de aplicaciones de rastreo de contactos durante la novela pandemia de coronavirus.

Investigadores de ESET dijo esta semana que el ransomware surgió solo unos días después de que Health and fitness Canada anunciara el lanzamiento de COVID Alert, que primero se probará en Ontario antes de implementarse en todo el país.

Si bien la aplicación oficial no se pondrá a disposición de los usuarios de dispositivos móviles hasta el próximo mes, los ciberatacantes están tratando de capitalizar el anuncio del gobierno con un paquete de Android propio, comercializado como la aplicación oficial de rastreo COVID-19 de Canadá, pero ocultando un secreto malicioso

Según la firma de ciberseguridad, dos sitios website ofrecieron lo que parecía ser la aplicación de rastreo de Health Canada. Sin embargo, los dominios ahora desaparecidos (tracershield (.) Ca y covid19tracer (.) Ca) en realidad alojaban APK que, cuando se descargaban, instalaban el ransomware CryCryptor en dispositivos Android.

El ransomware llamó la atención de ESET por medio de un tweet de un usuario de Twitter bajo el control @ReBensk. Si bien la alerta advirtió que los APK ocultaban un troyano bancario, tras un examen más detallado, el malware resultó ser el nuevo ransomware.

Ver también: El nuevo ransomware WastedLocker exige pagos de millones de dólares

Si un usuario de Android descarga el APK de dominios fraudulentos e instala la aplicación, el malware solicita acceso a los archivos y comienza la tarea de cifrar el contenido del dispositivo con extensiones específicas, incluido .PNG.

.ENC se agrega a los archivos comprometidos, que se cifran con AES y una clave de 16 caracteres. También se deja un archivo de texto que exige un rescate en cada directorio donde se almacenan los archivos cifrados.

ESET ha podido crear una herramienta de descifrado para la versión genuine del malware de Android que se ha creado disponible en GitHub.

Fue posible hacerlo ya que el ransomware aprovecha un mistake categorizado como «Exportación incorrecta de componentes de Android» (CWE-926) por MITRE. Este problema permite que las aplicaciones de instalación inicien los servicios exportados, pero a su vez, esto significa que se podría crear una herramienta que inicie las funciones de descifrado de CryCryptor.

CNET: Los republicanos impulsan un proyecto de ley que exige que las compañías tecnológicas ayuden a acceder a datos cifrados

Además, el ransomware se remonta a GitHub después de que su código fuente se hiciera público el 11 de junio. Según ESET, el desarrollador, que nombró al malware de código abierto CryDroid, disfrazó el lanzamiento como un proyecto de investigación.

«Desestimamos la afirmación de que el proyecto tiene fines de investigación: ningún investigador responsable lanzará públicamente una herramienta que sea fácil de usar con fines maliciosos», dice ESET.

TechRepublic: Solo el 31% de los estadounidenses se preocupan por la seguridad de los datos, a pesar del aumento del 400% en los ataques cibernéticos

Como el equipo no estaba convencido, GitHub ha sido consciente de la verdadera naturaleza del código.

A principios de este mes, los investigadores dijeron que una nueva variante de ransomware que apareció en la escena en mayo se está utilizando exclusivamente en ataques contra compañías estadounidenses. Considerado como el trabajo de Evil Corp, el ransomware WastedLocker generalmente exige pagos de rescate que alcanzan millones de dólares.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0






Enlace a la noticia original