Une nouvelle famille de ransomwares, qu’ESET a nommé CryCryptor, ciblait des utilisateurs d’Android au Canada sous le couvert d’une application officielle de suivi de COVID-19. ESET a mis un terme à l’attaque.
Grâce à un tweet annonçant la découverte de ce qui semblait être un malware bancaire sur Android, les chercheurs d’ESET ont découvert une campagne de ransomware ciblant des utilisateurs d’Android au Canada. En utilisant deux sites web sur le thème de COVID-19, les auteurs de la campagne ont incité leurs victimes à télécharger un ransomware déguisé en outil de suivi officiel de COVID-19. Les deux sites ont été depuis mis hors service. Les chercheurs d’ESET ont développé un outil de déchiffrement pour les victimes de CryCryptor, grace à un bug dans l’application malveillante.
« CryCryptor contient un bug dans son code qui permet à toute application installée sur l’appareil concerné d’activer les services fournis par l’application malveillante. Nous avons donc créé une application qui lance la fonctionnalité de déchiffrement intégrée à CryCryptor, » explique Lukáš Štefanko, qui a mené les recherches.
Le ciblage et le calendrier de la campagne du ransomware coïncident avec l’annonce faite par le gouvernement canadien de son intention de soutenir le développement d’une application de suivi volontaire à l’échelle nationale, appelée COVID Alert.
« Il est clair que la campagne utilisant CryCryptor a été conçue pour exploiter l’annonce de l’application officielle de suivi de COVID-19, » commente M. Štefanko.
Maintenant que les sites web malveillants ont été mis hors d’usage, que les fournisseurs de solutions de sécurité ont été informées, et que l’outil de déchiffrement est disponible, cette application ne représente plus une menace. Cela n’est toutefois valable que pour une version particulière de CryCryptor.
CryCryptor repose sur du code open source. « Nous avons informé GitHub, qui héberge le code, mais ils n’ont pas un très bon bilan lorsqu’il s’agit de démanteler des projets malveillants, » ajoute M. Štefanko.
Les produits d’ESET offrent une protection contre le ransomware CryCryptor, et le détectent sous le nom Android/CryCryptor.A.
« Outre l’utilisation d’une solution de sécurité mobile de qualité, nous conseillons aux utilisateurs d’Android de n’installer que des applications provenant de sources réputées telles que la boutique Google Play, » conclut M. Štefanko d’ESET.
Pour plus de détails, lisez l’article « New ransomware uses COVID-19 tracing guise to target Canada; ESET offers decryptor » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.