Novo ransomware atrai vítimas fingindo ser um aplicativo de rastreamento COVID-19 do governo canadense

Novo ransomware atrai vítimas fingindo ser um aplicativo de rastreamento COVID-19 do governo canadense

By Harshini Nag - min. de leitura
Ransomware

Os sites fraudulentos encriptam dados dos dispositivos Android da vítima, revelou a ESET

O novo ransomware chamado CryCryptor tem como alvo os usuários do Android no Canadá sob a premissa de ser um aplicativo oficial de rastreamento COVID-19 – de acordo com pesquisa publicada pela ESET na quarta-feira.

O ransomware, distribuído por dois sites fraudulentos apoiados pelo governo, decifra dados pessoais dos dispositivos das vítimas. Os pesquisadores da ESET analisaram o ransomware e desenvolveram uma ferramenta de decriptação para as vítimas. A empresa de segurança cibernética também informou o Centro Canadense de Segurança Cibernética após a descoberta e identificação do ransomware.

De acordo com a ESET, os sites fraudulentos alegados como uma iniciativa da Health Canada para ajudar no rastreamento de contatos depois que um paciente foi declarado positivo para COVID-19. Curiosamente, os sites apareceram alguns dias após um anúncio oficial do governo canadense para apoiar o desenvolvimento de um aplicativo de rastreamento de contatos em todo o país chamado COVID Alert.

O aplicativo está programado para ser lançado em testes em Ontário e não foi lançado oficialmente. Os golpistas aproveitaram o anúncio das autoridades canadenses para atrair as vítimas a acreditarem na autenticidade do site.

Os hackers trabalham para encriptar os arquivos no dispositivo da vítima e, em vez de bloqueá-lo, deixam um arquivo “leia-me” com o email do invasor em todos os diretórios com arquivos encriptados, informou a ESET. Os arquivos são encriptados usando o AES com uma chave de 16 dígitos gerada aleatoriamente. Depois que o CryCryptor decifra um arquivo, ele remove o arquivo original e o substitui por três novos arquivos. Isso exibe uma notificação “Arquivos pessoais encriptados, consulte readme_now.txt”.

A rede de ransomware chamou a atenção dos pesquisadores da ESET quando um tweet que identificava um ‘malware’ no site supostamente oficial foi lançado por um usuário. A empresa de cibersegurança analisou o aplicativo e descobriu um “bug do tipo ‘Exportação inadequada de componentes Android’ que o MITRE rotula como CWE-926” , disse o comunicado oficial. Esse bug permitiu que os pesquisadores da ESET desenvolvessem um aplicativo que iniciasse a funcionalidade de decriptação incorporada ao aplicativo de ransomware por seus criadores.

O ransomware CryCryptor é baseado no código aberto disponível no GitHub. Os pesquisadores da ESET afirmaram que os desenvolvedores do ransomware de código aberto, que o chamaram de CryDroid, estavam cientes de que ele era usado para fins maliciosos e tentaram falsamente disfarçá-lo como um projeto de pesquisa.

“Rejeitamos a alegação de que o projeto tem objetivos de pesquisa – nenhum pesquisador responsável tornaria público uma ferramenta fácil de usar indevidamente para fins maliciosos”, afirmou o anúncio. “Notificamos o GitHub sobre a natureza desse código”, acrescentou.