Novo ransomware Android – CryCryptor – afeta utilizadores no Canadá e apresenta-se como aplicação de tracking do Covid-19.

Uma nova peça de ransomware apelidada de CryCryptor, que visa utilizadores do Android, particularmente do Canadá,  apresentam como uma aplicação de tracking do COVID-19 oficial da Health Canada.

O CryCryptor é um novo ransomware baseado no ransomware de open-source CryDroid publicado em 11 de junho de 2020.

 

A campanha maliciosa iniciou-se depois  de o governo canadense anunciar uma nova aplicação oficial de tracking de COVID-19 do país. No entanto, a aplicação ainda está em fase de testes e estará finalizada possivelmente no próximo mês.

Investigadores de segurança da ESET observaram que a app de tracking COVID-19 maliciosa era distribuída utilizando dois sites de terceiros e não através do Google Play.

 

Depois de a app maliciosa ser executada no dispositivo, ela solicita permissões para aceder ficheiros do dispositivo. Depois de a permissão ser concedida pelo utilizador durante a sua instalação, o malware pode cifrar os ficheiros com diferentes extensões:

The extensions include txt, jpg, BMP, png, pdf, doc, Docx, ppt, pptx, avi, Xls, vcf, pdf, and db files.

 

Extensions Encrypted

The ransomware encrypts files only and not lock the device, it leaves a “readme” file in every directory with encrypted files that have the attacker’s email address.

The good news here is that we are having a decryption tool available for this ransomware, ESET researchers discovered a bug with the malicious app which allows them to create a decryption tool.

 

Depois de ser executado, o ransomware deixa um ficheiro “readme” em cada diretoria cifrada que contém o email do grupo/pessoa responsável pela ameaça.

A boa noticía é que a ESET lançou um decrypter gratuito para ajudar as vítimas a recuperarem de novo os seus dados danificados.