Jedną z ulubionych metod cyberprzestępców jest podszywanie się pod prawdziwe aplikacje mobilne. Tym razem ransomware zidentyfikowany przez badaczy ESET jako CryCryptor podszywał się pod oficjalną aplikację służącą do monitorowania kontaktów z osobami zarażonymi COVID-19.
Krótko po zidentyfikowaniu szkodnika przez badaczy z ESET zostały zlikwidowane wszystkie strony internetowe wykorzystywane do jego dystrybucji, a dobra wieść jest taka, że udało się przygotować deszyfrator, pozwalający na odzyskanie przez ofiary zaszyfrowanych plików. CryCryptor podszywał się pod aplikację mobilną, przygotowaną przez władze Kanady, której zadaniem było monitorowanie kontaktów z osobami zarażonymi koronawirusem. Oryginalna znajdowała się na dwóch specjalnie przygotowanych stronach, zaś osoby, które pobrały ją z innych źródeł, przeżyły niemiłe zaskoczenie, odkrywając, że wszystkie ich dane na smartfonie zostały zaszyfrowane.
Lukáš Štefanko, analityk zagrożeń w ESET, który stał na czele badań nad omawianym ransomware, wyjaśnia:
CryCryptor posiada błąd w swoim kodzie źródłowym, który umożliwia dowolnej aplikacji zainstalowanej na zainfekowanym urządzeniu wywołać dowolną funkcję wirusa. W ten sposób przygotowaliśmy narzędzie, które aktywuje funkcję odszyfrowywania bezpośrednio w CryCryptorze
Zobacz także: Wzrasta liczba ataków Ransomware na systemie Android
Kod CryCryptora jest publicznie dostępny na platformie GitHub, co oznacza, że wciąż może być wykorzystywany do tworzenia innych zagrożeń. I to między innymi ze względu na to zagrożenie Štefanko radzi, by na swoim smartfonie mieć zainstalowane skuteczne oprogramowanie antywirusowe oraz nie instalować aplikacji spoza sklepu Gogle Play.
Warto przypomnieć, że równie chętnie, jak pod aplikacje rządowe, przestępcy podszywają się także pod aplikacje do monitorowania kontaktów. Warto przed pobraniem apki na swój telefon poczytać opinie na jej temat, wystawione przez użytkowników.
