El nuevo ransomware de Android ya activo en la naturaleza ha llamado la atención de los investigadores. Identificado como CryCryptor, este ransomware se enmascara como una aplicación de seguimiento de contactos COVID-19. Se dirige principalmente a usuarios de Android en Canadá.
CryCryptor Ransomware dirigido a Android En una publicación reciente , los investigadores de seguridad de ESET han compartido detalles sobre el nuevo ransomware. Apodado como CryCryptor, este ransomware apareció en Google Play Store haciéndose pasar por una aplicación de rastreo de contactos de Android COVID-19.
El ransomware primero llamó la atención de otro investigador que inicialmente lo describió como un troyano bancario.
Sin embargo, después de un análisis más detallado de la aplicación, ESET podría establecer que es ransomware, eso también, uno nuevo.
En resumen, el ransomware llega a un dispositivo objetivo después de que un usuario descarga la aplicación falsa. Luego solicita permiso para acceder a los archivos del dispositivo. Una vez otorgado, encripta todos los tipos principales de archivos en el dispositivo. Con respecto a este cifrado, los investigadores declararon:
“Los archivos seleccionados se cifran con AES con una clave de 16 caracteres generada aleatoriamente. Después de que CryCryptor cifra un archivo, se crean tres archivos nuevos y se elimina el archivo original. El archivo cifrado tiene la extensión de archivo “.enc” adjunta, y el algoritmo genera una sal única para cada archivo cifrado, almacenada con la extensión “.enc.salt” ; y un vector de inicialización, “.enc.iv”
Sin embargo, a diferencia de un ransomware para PC que bloquea a la víctima, CryCryptor simplemente deja una nota de rescate después del cifrado. Muestra una notificación en el dispositivo de la víctima solicitando ver el archivo de texto que dejó en cada directorio con archivos cifrados.
Buenas noticias: herramienta de descifrado disponible
CryCryptor se dirigió principalmente a los usuarios de Android en Canadá, ya que apareció en línea justo después de que el gobierno anunciara tal movimiento. Sin embargo, la aplicación oficial aún no aparece en línea.
Afortunadamente, los investigadores de ESET tienen buenas noticias para las víctimas.
Encontraron una “Exportación incorrecta de componentes de aplicaciones de Android” ( CWE-926 ) que permite que otras aplicaciones usen un componente de la aplicación especificada.
Aprovechando este error, desarrollaron un descifrador para CryCryptor (o CryDroid como lo nombran los actores de la amenaza), lo que no fue tan difícil para ellos ya que el ransomware depende del código fuente abierto en GitHub.
Por lo tanto, las víctimas pueden deshacerse de este ransomware descargando el descifrador. Sin embargo, todos los usuarios deben tener mucho cuidado al descargar incluso desde las tiendas de aplicaciones oficiales.