Uwaga na tę aplikację – udaje iż chroni przed koronawirusem, a może zaszyfrować przechowywane na naszym smartfonie dane

Odkryto kolejną aplikację przeznaczoną dla użytkowników urządzeń Android, która podszywa się pod oficjalne narzędzie do monitorowania kontaktów z osobami zarażonymi koronawirusem. To ransomware odkryty przez firmę ESET, którego szkodliwy kod szyfruje dane przechowywane w pamięci urządzenia.

Ransomware

Zagrożeniu nadano nazwę CryCryptor, a ransomware podszywa się pod oficjalną aplikację służącą do monitorowania kontaktów z osobami zarażonymi koronawirusem COVID-19, która została przygotowana przez kanadyjskie władze (nosi ona nazwę COVID Alert). Do infekcji urządzenia dochodzi za pośrednictwem jednej z dwóch specjalnie spreparowanych stron internetowych. Ofiary pobierały z nich aplikację, która po instalacji szyfrowała wszystkie dane użytkownika zgromadzone na urządzeniu.

Krótko po zidentyfikowaniu zagrożenia strony internetowe wykorzystywane do jego dystrybucji zostały zlikwidowane, a korzystając z luki w kodzie wirusa ekspertom ESET udało się przygotować narzędzie deszyfrujące, z którego pomocą ofiary mogą odzyskać dostęp do swoich danych.

Zobacz również:

Okazała się iż CryCryptor posiada błąd w swoim kodzie źródłowym, który umożliwia dowolnej aplikacji zainstalowanej na zainfekowanym urządzeniu wywołać dowolną funkcję wirusa. W ten sposób przygotowaliśmy narzędzie, które aktywuje funkcję odszyfrowywania bezpośrednio w CryCryptorze, mówi Lukáš Štefanko (analityk zagrożeń w ESET, który stał na czele badań nad tym zagrożeniem).

Choć zagrożenie ze strony opisywanej kampanii zostało zażegnane, nie oznacza to, że ransomware przestał być niebezpieczny. Kod CryCryptora jest publicznie dostępny na platformie GitHub. Jej administratorzy zostali poinformowani o sytuacji, jednak do tej pory nie został on usunięty.

Opisywany incydent nie jest jedynym tego typu przypadkiem na świecie. Przestępcy chętnie podszywają się pod aplikacje do monitorowania kontaktów, co potwierdza m.in. niedawny raport firmy Anomali, która jak dotąd zidentyfikowała 12 takich przypadków na całym świecie. Niewykluczone, że podobny incydent może wydarzyć się także w Polsce, dlatego eksperci ESET radzą, by aplikacje instalować tylko ze sklepu Google Play oraz dokładnie sprawdzać twórcę i opinie zamieszczone przez innych użytkowników.


TOP 200