Ransomware dirigido a usuarios de android en Canadá

Cierre de dos webs falsas que instaban a la descarga de una supuesta app oficial para rastreo del Covid-19

33
ransomware

El descubrimiento lo ha anunciado ESET: una nueva campaña de ransomware dirigida a usuarios de dispositivos Android en Canadá. A partir de un tuit que anunciaba el descubrimiento de lo que parecía un malware bancario, la compañía fue tirando del hilo e investigando hasta toparse con dos webs de información sobre el Covid-19.

En ellas, los atacantes animaban a las potenciales víctimas a descargarse una app falsa disfrazada de herramienta oficial para el rastreo de afectados por el coronavirus. Ahora, las dos páginas están cerradas. Además, como prevención, los profesionales de ESET han publicado una herramienta de descifrado del ransomware, denominado CryCryptor, gracias a un bug encontrado en la app maliciosa.

CryCryptor contiene un error en su código que permite que cualquier aplicación instalada en el dispositivo infectado pueda lanzar cualquier servicio proporcionado por la app maliciosa, por lo que creamos una aplicación que incluye la función de descifrado”, explica Lukas Stefanko, experto de ESET y responsable de la investigación.

Casualmente, la fecha de lanzamiento de esta campaña de propagación de ransomware coincide con el anuncio por parte del Gobierno de Canadá de desarrollar una aplicación de rastreo de uso voluntario en todo el país llamada Covid Alert. “Está claro que la operación fue diseñada para aprovecharse de este anuncio”, comenta Stefanko.

Crycryptor es la herramienta de ESET para el descifrado del programa dañino

Ahora que las webs están cerradas y que existe una herramienta de descifrado, esta aplicación no supone ningún riesgo para los usuarios de Android. Pero esta afirmación sólo es válida para esta versión en concreto de CryCryptor, ya que es un ransomware basado en código abierto. “Hemos avisado a GitHub, el sitio en el que está alojado el código, pero no suelen ser muy rápidos en eliminar proyectos maliciosos”, alerta Stefanko. “Además de utilizar una solución de seguridad de confianza en el móvil, es importante que los usuarios de Android solo instalen aplicaciones desde fuentes fiables, como la tienda oficial de Google” añade.

Las soluciones de ESET protegen a los usuarios de Android de CryCryptor y lo detectan como Android/CryCryptor.A. Para más información sobre este ransomware, se puede visitar el blog de ESET.