CryCyptor: ransomware Android, si finge App COVID-19

hacker

Il ransomware CryCyptor si sta diffondendo tra i cittadini del Canada. Colpisce sistemi Android. Si finge App per tracciare gli infetti da coronavirus. Facciamo sempre attenzione prima di scaricare ed installare software per smartphone.

Abbiamo parlato di criminalità informatica in questo articolo.

Succede in Canada. Dove sempre più utenti di sistemi Android – tipicamente, telefoni cellulari – installano una applicazione “normale”. Che dovrebbe tracciare gli infetti di coronavirus. Invece, un colpisce gli utenti Android con il ransomware CryCyptor.

Gli utenti installano l’App in buona fede. Da più siti web apparentemente identici ai portali governativi. Ma che, appunto, sono lì solo per ingannare l’utente e far installare l’applicazione fraudolenta.

Ne parla uno studio condotto dalla società di sicurezza informatica ESET. Pubblicata sul loro portale WeLiveSecurity.

Tutto comincia in rete. Con l’annuncio del governo canadese di un’applicazione per il tracciamento dei contagiati di COVID-19. Che, chiaramente, utilizza informazioni volontariamente fornite dagli utenti.

Molti si affidano al sito ufficiale del governo canadese.

App COVID-19 in Canada
portale per scaricare l’App COVID-19 – fonte sito ufficiale del Canada

Altri, invece, sono dirottati verso un portale fasullo.

Non un sito governativo. Ma un sito creato appositamente da hacker. Qui, la vittima quindi installa l’App. Che, come un cavallo di Troia, contiene il ransomware CryCyptor per Android. Questo malware cripta tutti i file del dispositivo. Insomma, tutti i dati nella memoria del telefono cellulare. Foto, filmati, documenti, audio: qualunque cosa. E genera un file di testo contenente l’indirizzo e-mail da contattare per sbloccare e riottenere i dati. E le istruzioni per pagare il riscatto, soprattutto.

Il software malevolo per Android alla base del ransomware CryCyptor è pubblico. Ossia, si basa su un progetto open source, liberamente disponibile su GitHub. Un software pubblicato e disponibile a tutti a soli fini di ricerca, si difendono gli sviluppatori. Ma gli analisti di ESET nutrono forti dubbi in merito:

Gli sviluppatori del ransomware open source, che hanno chiamato CryDroid, sono certamente consapevoli del fatto che il codice sarebbe stato utilizzato per fini malevoli.

Sostengono che il progetto abbia fini di ricerca. E che il codice sia stato anche caricato sul servizio VirusTotal. Sebbene non sia chiaro chi sia stato, in effetti il codice è apparso su VirusTotal lo stesso giorno della pubblicazione su GitHub.

Gli analisti di ESET hanno fatto anche di più. Hanno sviluppato un’applicazione per decriptare i file delle vittime del malware. Senza pagare il riscatto, chiaramente. Ma, sottolineano, l’applicazione di ESET funziona soltanto con la versione corrente di CryCryptor.

FONTE: https://www.welivesecurity.com/

Scrivi un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *