Il Ransomware Android che prende di mira le foto

Avatar utente

Topic Author
openresource
Administrator
Administrator
Connesso: No
User theme: Light
Messaggi: 309
Iscritto il: mar gen 28, 2020 9:52 pm
Località: varese

Admin

Il Ransomware Android che prende di mira le foto

Messaggio da openresource »

Immagine

La notizia arriva dall’altra parte dell’atlantico, in Canada, dove è stato scoperto un nuovo ceppo di Ransomware, specificatamente mobile, che prende di mira gli utenti di Android bloccando foto e video personali.

Chiamato CryCryptor, è stato inizialmente individuato mentre si mascherava da applicazione ufficiale per il tracciamento del COVID-19 (la versione canadese di IMMUNI).

Si sta propagando attraverso due diversi siti web fasulli che fingono di essere ufficiali, uno chiamato tracershield[dot]ca.

Come altre famiglie di ransomware, cripta file mirati. Ma, invece di bloccare semplicemente il dispositivo, CryCryptor lascia un file “readme” con l’email dell’aggressore in ogni directory.

Secondo i ricercatori, questo nuovo ceppo si basa su codice open-source facilmente reperibile su GitHub.

Quando qualcuno lancia l’applicazione dannosa, come accade su Android, questa richiede l’accesso ai file sul dispositivo.

Dopodiché, i file selezionati vengono crittografati utilizzando AES con una chiave a 16 caratteri generata in modo casuale.

Foto e video criptati
Dopo che CryCryptor cripta un file, vengono create tre nuove copie e l’originale viene rimosso.

Questo file criptato “acquista” l’estensione .enc e l’algoritmo genera un sale (una sequenza casuale di bit) unico per ogni file criptato, memorizzato con l’estensione .enc.salt; e un vettore di inizializzazione, .enc.iv.

È interessante notare che i file presi di mira includono foto e video.

Il fatto che il Ransomware includa estensioni di tipo file come .jpg, .png e .avi indica come gli aggressori abbiano voluto dare un tocco “personale” al Ransomware, cercano di migliorare le loro probabilità di ottenere un riscatto.

Una volta completata la cifratura, i ricercatori hanno scoperto che CryCryptor visualizza una notifica che dice: “File personali cifrati, vedi readme_now.txt”.

Quel file readme_now.txt viene inserito in ogni directory con file crittografati.

Fortunatamente, i ricercatori sono stati in grado di creare uno strumento di decrittazione, grazie a un difetto nella codifica dell’applicazione dannosa.

Grazie al bug del tipo ‘Improper Export of Android Components’, che si verifica quando un’applicazione Android esporta un componente per l’uso da parte di altre applicazioni, ma non limita adeguatamente quali applicazioni possono lanciare il componente o accedere ai dati in esso contenuti, i ricercatori sono riusciti a integrare la funzionalità di decrittazione già contenuta nell’applicazione ransomware stessa dai suoi creatori in un’app anti-ransomware di loro creazione.

CryCryptor, come altri malware, sta cercando di trarre vantaggio dai governi che lanciano le app di tracciamento COVID-19 per combattere la pandemia.

Quando il governo canadese ha annunciato ufficialmente la creazione di un’applicazione di tracciamento, chiamata COVID Alert, che sarà lanciata per i primi test a luglio, CryCryptor ha fatto immediatamente la sua comparsa

Ma non è solo CryCryptor a cercare di approfittare della situazione.

Un altro nuovo ceppo di malware è stato recentemente trovato mentre impiegava la stessa tattica e questo ci vede coinvolti da vicino.

Il ransomware “[F]Unicorn” è apparso a maggio, fingendo di essere “Immuni” – l’app ufficiale “nostrana” per il coronavirus-tracking.

La versione beta vera e propria si sta diffondendo in tutto il Paese; la falsa app ospita un eseguibile maligno, che si spaccia per la Federazione Italiana dei Farmacisti (FOFI).

Sfortunatamente, il COVID-19 fornisce uno sfondo ideale per i criminali informatici per condurre queste operazioni.

Gli utenti avranno probabilmente familiarità con gli attacchi di phishing, e CryCrypto non è il primo ransomware Android mai trovato.

Ciò che è diverso per la maggior parte degli utenti nel contesto dei dispositivi mobili è l’esposizione di vettori di comunicazione non tipicamente associati ad attacchi di phishing.

Questo include applicazioni di voice-chat, SMS, applicazioni di messaggistica istantanea e canali di social media dove gli aggressori possono comunicare con le potenziali vittime per indurli a installare applicazioni non legittime.



Immagine