ESETの研究者は、Androidユーザーを標的にしたCryCryptorの新しいランサムウェアファミリーを利用した攻撃がカナダで展開されていることを発見しました。この攻撃は、公式の新型コロナウイルス追跡アプリに偽装されていました。ESETの発見により、すでにこの攻撃は停止されています。
ESETの研究者は、Androidバンキングマルウェアと思われるものを発見したというツイッター投稿をきっかけに、カナダでAndroidユーザーを標的にしたランサムウェア攻撃が展開されていることを発見しました。
攻撃者は新型コロナウイルスをテーマにした2つウェブサイトを利用し、公式の新型コロナウイルス追跡ツールに偽装したランサムウェアアプリをユーザーにダウンロードさせ、攻撃を仕掛けていました。現在、この2つのウェブサイトは閉鎖されています。ESETの研究者は、この悪意のあるアプリCryCyptorのバグに対する復号ツールを開発し、被害者に提供しました。
調査を行ったルーカス・ステファンコは次のようにコメントしました。「CryCryptorはコードにバグを含み、影響を受けたデバイスにインストールされているあらゆるアプリが、バグのあるアプリによって提供されるサービスを起動するようになっています。そのため、CryCryptorに組み込まれた復号機能を起動するアプリを開発しました。」
このランサムウェア攻撃の標的とタイミングは、COVIDアラートと呼ばれる追跡アプリの全国的な展開を後押しするカナダ政府の発表と一致します。
「CryCryptorを使った攻撃は、明らかに公式の新型コロナウイルス追跡アプリに便乗して設計されています。」とステファンコは述べています。
現在は悪意のあるウェブサイトは閉鎖され、セキュリティベンダーもこの攻撃を認識し、復号ツールも存在するため、このアプリはもはや脅威ではありません。しかし、これはCryCryptorの特別バージョンのひとつでしかありません。
CryCryptorはオープンソースコードで構成されています。「コードをホスティングしているGitHubに警告しましたが、悪意のあるプロジェクトが依然としてリストアップされている可能性があります。」とステファンコは述べています。
ESET製品は、CryCryptorランサムウェアをAndroid/CryCryptor Aとして検出し、防御を提供します。
ステファンコは次のコメントで締めくくりました。「高品質のモバイルセキュリティソリューションの利用に加えて、Androidユーザーは、Google Playストアといった信頼できるソースからのみアプリをインストールすることを推奨します。」
詳細情報は、ブログ記事(現時点では英語のみ、日本語は後日公開予定)をご覧ください。