¡Sí que son rápidos! Cibercriminales utilizan app de rastreo de COVID-19 para apuntar a usuarios en Canadá

La comodidad, la potencia, la movilidad e incluso la diversión que permiten los teléfonos inteligentes los hacen ideales para enfrentar todo... desde desafíos cotidianos como verificar los horarios de apertura y cierre de tiendas hasta determinar si ha estado cerca de un brote de COVID-19. Esta utilidad también trae consigo una familiaridad que adormece la mente humana hacia la comodidad.

Tal vez no sea posible estar tan alerta cuando su teléfono le ayuda a procesar casi todo lo que hace ¿verdad? Poder reconocer esto (nosotros, los usuarios) es crítico. Pocos tienen la capacidad de abordar cada acción (web) tomada, sin mencionar la descarga de aplicaciones, como una cuestión crítica. Esto ya es, por sí solo, razón suficiente para elegir una App de seguridad móvil de confianza, como ESET Mobile Security (EMS), capaz de escanear y bloquear las amenazas, ayudando a su vez a aumentar la conciencia del usuario sobre sus prácticas de seguridad.

Pruebe EMS gratis

Aplicaciones como EMS pueden poner límite a un gran número de riesgos para los dispositivos móviles y sus usuarios. Sin embargo, el entorno de amenazas que enfrentan los usuarios está en constante desarrollo. Por eso, cuando nuestros investigadores descubrieron un nuevo tipo de ransomware, llamado desde entonces CryCryptor, el 22 de junio de 2020, creímos útil compartir este recordatorio para proteger su "dispositivo más utilizado". 

CryCryptor ha estado apuntando a usuarios de Android en Canadá. Se distribuye a través de dos sitios web bajo la apariencia de una aplicación oficial de rastreo de COVID-19 ofrecida por Health Canada. Los investigadores de ESET analizaron el ransomware y crearon una herramienta de descifrado para las víctimas. De hecho, CryCryptor apareció solo unos días después de que el gobierno canadiense anunciara oficialmente su intención de respaldar el desarrollo de una aplicación nacional de rastreo voluntario a nivel nacional llamada Alerta COVID. Se espera que la aplicación oficial se lance para ser probada en la provincia de Ontario el próximo mes. 

Normalmente, un aplicación recién estrenada  habría sido examinada por los equipos de seguridad encargados de proteger la tienda de Google Play, así como la App Defense Alliance de Google, que incluye ESET. Los investigadores de ESET informaron al Centro Canadiense de Seguridad Cibernética sobre esta amenaza tan pronto como fue identificada.

Una vez que el usuario se convierte en víctima de CryCryptor, el ransomware cifra los archivos en el dispositivo - todos los tipos de archivos más comunes - pero en lugar de bloquear el dispositivo, deja un archivo ReadMe (Léame) con el correo electrónico del atacante en cada directorio con archivos cifrados. Afortunadamente, pudimos crear una herramienta de descifrado para aquellos que se transforman en víctimas de este ransomware.

Después de detectar el tweet que atrajo este ransomware a nuestro radar (el investigador que lo descubrió etiquetó erróneamente el malware como un troyano bancario), analizamos la aplicación. Descubrimos un error que nos permitió crear la herramienta de descifrado, una aplicación que inicia la funcionalidad de descifrado incorporada en la aplicación de ransomware por sus creadores.

¿Cómo se cifran?

Tras ser lanzado, el ransomware solicita permiso para acceder a los archivos en el dispositivo. Después de obtener ese permiso, cifra archivos en medios externos con ciertas extensiones. Los archivos se cifran utilizando AES con una clave de 16 caracteres generada aleatoriamente. Después de que CryCryptor cifra un archivo, se crean tres archivos nuevos y se elimina el original.

Luego de que todos los archivos apuntados son cifrados, CryCryptor despliega una notificación “Personal files encrypted, see readme_now.txt.” El archivo readme_now.txt se ubica en cada directorio con archivos cifrados.