Amenazas de seguridad móvil en medio de COVID ‑ 19 y más allá: Preguntas y respuestas con Lukas Stefanko


El investigador de malware de ESET, Lukas Stefanko, nos da un vistazo detrás de escena de su análisis del ransomware CryCryptor y pone la amenaza en un contexto más amplio.

La pandemia de COVID-19 ha remodelado la forma en que trabajamos y, en muchos casos, también la forma en que interactuamos con nuestros seres queridos. Mientras que una serie de los gobiernos contemplan el uso del rastreo de contactos Para detener la propagación del virus, los ciberdelincuentes han ideado una serie de trucos para aprovechar la situación, no solo con estafas de todo tipo, pero también con ataques de ransomware.

Lukas Stefanko, un investigador de malware en ESET, recientemente analizó un nueva familia de ransomware haciéndose pasar por una aplicación de seguimiento de contactos desarrollado por la agencia de atención médica de Canadá, Overall health Canada. Junto con los detalles técnicos sobre este ransomware, llamado CryCryptor, ESET proporcionó una herramienta de descifrado para que las víctimas puedan recuperar sus datos.

Nos sentamos con Lukas para hablar sobre los entresijos de CryCryptor y sobre cómo esta familia de ransomware se compara con otras amenazas que enfrentan los usuarios de Android no solo durante la pandemia.

Hola Lukas, gracias por acompañarnos. Primero, podrías caminar nosotros a través de el descubrimiento y análisis de CryCryptor?

Hola, gracias por invitarme. Tengo que decir que tuve suerte, ya que lo encontré por accidente mientras me desplazaba por Twitter ese mismo día. Fue publicado por investigadores de malware, que afirmaron que era una amenaza bancaria de Android. Esto tenía sentido, porque esta ha sido una forma well-liked de hacer mal uso de COVID-19 y distribuir malware bancario. Sin embargo, la mayoría de las veces verifico dos veces tales reclamos e incluso a primera vista, la aplicación no parecía un típico «banquero». Esa fue la primera pista que condujo a la identificación de una nueva familia de ransomware Android.

Mencionaste en el artículo ese un investigador de malware en Twitter se había equivocado CryCryptor para un troyano bancario. Tsu sugerencias alguna semejanza técnica entre ransomware y troyanos bancarios. ¿Cómo los compararías?

Los creadores de troyanos bancarios de Android han abusado mucho de la situación causada por la pandemia, distribuyendo las amenazas a través de sitios net falsos que se hacen pasar por seguidores de COVID-19, aplicaciones gubernamentales, identificadores de síntomas de coronavirus, aplicaciones de compensación de pérdidas financieras, aplicaciones de Zoom falsas y otros. Hemos visto docenas de tales intentos maliciosos sin embargo, la distribución de ransomware no period well-known.

LECTURA RELACIONADA Navegando por las aguas turbias del malware bancario de Android

Cuando comparamos el impacto de los troyanos bancarios de Android y el ransomware Android, la mayoría de los troyanos bancarios, una vez instalados, solicitan actividad adicional de la víctima para obtener acceso a sus fondos, como solicitar al usuario que inicie sesión en pantallas bancarias falsas y luego robar dos factores -códigos de autenticación si están configurados. No existen tales pasos adicionales con ransomware, solo inicie la aplicación y los archivos se cifrarán.

Uno característica especial de este ransomware es que no bloquea el dispositivo en sí, sino que encriptas todas archivos en el externo almacenamiento y muestra una alerta al víctima que sus archivos han sido encriptados. Cuando lei por primera vez Tu artículo, Me sorprendió bastante ver que el readme_now.txt el archivo no pregunta por Cualquier rescate específico. ¿Qué tan común es thes?

El atacante también podría bloquear el dispositivo sin embargo, es más difícil en la última versión de Android y el desarrollador de malware necesitaría más esfuerzo para implementar dicha función. De todos modos, no es imposible. Además, no es tan común no indicar una cantidad de rescate específica que se pagará para descifrar los archivos, ya que crea un paso adicional para el atacante y la víctima puede cambiar de opinión y, finalmente, negarse a pagar.

Con demasiada frecuencia, escuchamos sobre ransomware sin ninguna clave de descifrado, incluso por parte del atacante. Es intrigante que un error en el malware hizo posible el desarrollo de una herramienta de descifrado. ¿Podrías contarnos más sobre Como tu creado el herramienta de descifrado?

¡Fue un día de suerte! Después de analizar cualquier ransomware, siempre pienso en una posible forma de crear un descifrador, en caso de que la clave de cifrado no se genere al azar, o una herramienta de descifrado. Cuando hice un análisis rápido de vulnerabilidad de este ransomware, identifiqué un mistake que, una vez explotado correctamente, podría activar la funcionalidad de descifrado incluso sin conocer la clave de cifrado. Cuando lo probé, funcionó perfectamente, así que en un par de minutos creé una herramienta de descifrado completamente funcional.

Con los años, túMe he convertido en un experto en amenazas frente a Dispositivos Android. ¿Cuáles son algunas de las amenazas que predices que ganarán en prevalencia en el futuro cercano, ya seas exploits focalización vulnerabilidades o aplicaciones maliciosas?

Las vulnerabilidades se explotan principalmente en ataques dirigidos, por lo que la vulnerabilidad no está expuesta a un amplio «público», incluidos los investigadores de seguridad o malware que notificarían al proveedor y lo arreglarían. En lo que respecta a la prevalencia del malware, los troyanos bancarios de Android siguen siendo muy populares: he visto muchos nuevos que se venden en foros clandestinos. Las aplicaciones de fraude publicitario y de adware plantean otra amenaza común, ya que no solicitan ningún aporte adicional de los usuarios para hacer un mal uso de sus teléfonos y generar ingresos para el atacante.

¿Qué consejo clave darías? a ¿Usuarios de Android con respecto a la seguridad de la aplicación?

Sobre todo, descargue aplicaciones solo de Google Engage in Keep, use un sistema operativo y aplicaciones de Android actualizados y use una solución de seguridad de Android actualizada y de buena reputación que cuide la seguridad de su teléfono inteligente.

Gracias de nuevo, Lukas





Enlace a la noticia initial