Des chercheurs en sécurité d'ESET ont découvert un nouveau ransomware appelé CryCryptor qui posait une application de traçage officielle canadienne Covid-19.
Le ransomware est apparu quelques jours seulement après que le gouvernement canadien a annoncé son intention de soutenir le développement d'une application de traçage volontaire à l'échelle nationale appelée COVID Alert qui sera déployée pour des tests en Ontario dès le mois prochain.
CryCryptor est distribué à partir de deux sites Web qui affirment qu'il s'agit d'une application de traçage Covid-19 alors qu'en réalité il ne s'agit que d'une nouvelle famille de ransomwares. Une fois qu'un utilisateur a installé la fausse application sur son smartphone, le ransomware crypte tous les fichiers sur son appareil mais au lieu de le verrouiller, CryCryptor laisse un fichier «readme» avec le courrier électronique de l'attaquant dans chaque répertoire à côté des fichiers cryptés. Une fois que tous les fichiers cibles ont été chiffrés, une notification s'affiche sur l'appareil qui indique «Fichiers personnels chiffrés, voir readme_now.txt».
Heureusement, après avoir analysé l'application, Les chercheurs d'ESET ont découvert un bogue «Mauvaise exportation des composants Android» qui leur a permis de créer un outil de décryptage.
Sommaire
CryCryptor
En utilisant une recherche simple basée sur le nom du package de la fausse application de traçage Covid-19 et quelques chaînes, les chercheurs d'ESET ont découvert que le ransomware CryCryptor est basé sur le code open source disponible sur GitHub.
Les développeurs derrière le ransomware open source lui ont donné le nom de CryDroid avant de le télécharger sur la plateforme des développeurs. Ils ont également tenté de déguiser le projet en recherche en affirmant avoir téléchargé le code sur VirusTotal.
À l'heure actuelle, on ne sait toujours pas qui a téléchargé CryDroid en premier lieu, mais le code est apparu sur VirusTotal le même jour qu'il a été publié sur GitHub. Dans un article de blog, les chercheurs d'ESET ont expliqué qu'il n'y avait aucun moyen pour que le projet soit conçu à des fins de recherche car «aucun chercheur responsable ne rendrait public un outil facile à utiliser à des fins malveillantes».
Pour ceux qui ont été accidentellement victimes de CryCryptor, vous pouvez télécharger l'application de décryptage Android d'ESET bien que la société de sécurité prévienne que l'application ne fonctionnera que pour cette version du ransomware.
