Нов злонамерен софтуер за откупи, който заключва лични снимки и видеоклипове на Android потребители, се появи в Канада. Първоначално CryCryptor е забелязан като фалшиво копие на официалното приложение за проследяване на COVID-19 от Health Canada. Вирусът се разпространява чрез два различни фалшиви уебсайта.
Подобно на други фамилии рансъмуер, CryCryptor криптира файлове в заразеното устройство. Но вместо просто да заключи устройството, вирусът оставя файл „readme” с имейла за контакт с нападателя във всяка директория. Вирусът е базиран на отворен код, публикуван в GitHub.
Когато жертвата стартира злонамереното приложение, то изисква достъп до файловата система на устройството. След като такъв му бъде осигурен, избрани файлове се криптират с помощта на AES алгоритъм с произволно генериран 16-символен ключ.
„След като криптира файл, CryCryptor създава три нови файла, а оригиналният се премахва”, поясняват от антивирусната компания ESET. „Криптираният файл има прикачено разширение .enc и алгоритъмът генерира уникален стринг (salt) за всеки криптиран файл, съхраняван с разширението .enc.salt и инициализиращ вектор .enc.iv”.
Интересно е, че тази атака включва разширения за файлове като .jpg, .png и .avi, както и ред други документи. Чрез криптиране на снимки и видеоклипове във паметта на телефона, нападателите правят атаката по-лична и се опитват да подобрят шансовете си за плащане на откуп. Хората са склонни към съхранение на много лични снимки върху своите устройства, което ги прави лесна мишена.
След като криптирането приключи, CryCryptor показва известие, което гласи: „Личните ви файлове бяха криптирани, вижте readme_now.txt”. Файлът readme_now.txt се поставя във всяка директория с криптирани файлове.
Изследователи от ESET успяха да открият хранилище със сорс кода на CryCrypt в GitHub с помощта на обикновено търсене в Google въз основа на името на пакета на приложението и няколко стринга, които изглеждат уникални за този вирус.
Разработчиците на вируса са опитали да прикрият следите си чрез промяна на името на проекта на CryDroid. Освен това са забелязани следи от проби за засичане чрез антивирусен софтуер в портала VirusTotal.
„Те са знаели, че кодът ще се използва за злонамерени цели”, твърдят от ESET. „Отхвърляме хипотезата, че проектът е единствено с изследователски цели – никой отговорен изследовател няма да пусне публично инструмент, който е лесно да се използва за злонамерени цели”.
Изследователите от ESET успяха да създадат инструмент за декриптиране, благодарение на недостатък в кодирането на злонамереното приложение. „Открихме грешка от типа неправилен експорт на Android компонент”, която порталът за номериране на уязвимости MITER обозначава като CWE-926.
„Неправилен експорт на компоненти на приложения за Android възниква, когато приложение за Android експортира компонент за използване от други приложения, но не ограничава правилно кои приложения могат да стартират компонента или да имат достъп до данните, които съдържат”, описва грешката MITER.
„Поради грешката в приложението, всяко друго приложение, което е инсталирано на засегнатото устройство, може да стартира всяка експортирана услуга, предоставена от CryCrypt. Това ни позволи да създадем инструмента за декриптиране – приложение, което стартира декриптиращата функционалност, вградена в CryCrypt от нейните създатели”, поясняват от ESET.
CryCryptor, подобно на други зловредни програми, се стреми да се възползва от приложенията за проследяване на COVID-19 за борба с пандемията. Канадското правителство официално обяви създаването на общонационално доброволно приложение за проследяване, наречено COVID Alert, което трябва да бъде въведено за тестване в провинция Онтарио през юли. Новото семейство рансъмуер изплува само няколко дни по-късно.