Miała pomóc w walce z koronawirusem. Zamiast tego szyfrowała telefon
Badacze ESET odkryli nową aplikację na Androida, która podszywając się pod oficjalną aplikację do monitorowania kontaktów z osobami zrażonymi koronawirusem, infekowała smartfony użytkowników i szyfrowała ich dane.
Ransomware zidentyfikowany przez badaczy ESET jako CryCryptor podszywał się pod oficjalną aplikację służącą do monitorowania kontaktów z osobami zarażonymi COVID-19 przygotowaną przez kanadyjskie władze. Do infekcji urządzenia dochodziło za pośrednictwem jednej z dwóch specjalnie spreparowanych stron internetowych. Ofiary pobierały z nich aplikację, która po instalacji szyfrowała wszystkie dane użytkownika zgromadzone na urządzeniu.
Krótko po zidentyfikowaniu zagrożenia strony internetowe wykorzystywane do jego dystrybucji zostały zlikwidowane, a korzystając z luki w kodzie wirusa ekspertom ESET udało się przygotować narzędzie deszyfrujące, z którego pomocą ofiary mogą odzyskać dostęp do swoich danych.
- CryCryptor posiada błąd w swoim kodzie źródłowym, który umożliwia dowolnej aplikacji zainstalowanej na zainfekowanym urządzeniu wywołać dowolną funkcję wirusa. W ten sposób przygotowaliśmy narzędzie, które aktywuje funkcję odszyfrowywania bezpośrednio w CryCryptorze - opowiada Lukáš Štefanko, analityk zagrożeń w ESET, który stał na czele badań nad omawianym ransomware.
Choć zagrożenie ze strony opisywanej kampanii zostało zażegnane, nie oznacza to, że ransomware przestał być niebezpieczny. Kod CryCryptora jest publicznie dostępny na platformie GitHub. Jej administratorzy zostali poinformowani o sytuacji, jednak do tej pory nie został on usunięty.