Neue Ransomware lockt Opfer, indem sie sich als COVID-19-Tracing-App der kanadischen Regierung ausgibt

Laut ESET verschlüsseln die betrügerischen Webseiten Daten von Android-Geräten des Opfers

Die neue Ransomware namens CryCryptor richtet sich an Android-Benutzer in Kanada unter der Vorgabe, eine offizielle COVID-19-Tracing-App zu sein – dies geht aus einer Mittwoch von ESET veröffentlichten Studie hervor.

Die Ransomware, die über zwei von der Regierung unterstützte betrügerische Webseiten verbreitet wird, verschlüsselt personenbezogene Daten von Opfer-Geräten. Die ESET-Forscher haben die Software analysiert und ein Entschlüsselungswerkzeug für die Opfer entwickelt. Das Unternehmen für Cybersicherheit informierte zudem das kanadische Zentrum für Cybersicherheit über die Entdeckung sowie die Ransomware-Identifizierung.

ESET zufolge handelt es sich bei den betrügerischen Webseiten angeblich um eine Initiative von Health Canada zur Unterstützung der Kontaktverfolgung nach positiven COVID-19-Tests. Interessanterweise erschienen die Seiten einige Tage nach einer offiziellen Ankündigung der kanadischen Regierung, die Entwicklung einer landesweiten Kontaktverfolgungs-App namens COVID Alert zu unterstützen.

Die App soll zum Testen in Ontario eingeführt werden und wurde noch nicht offiziell gestartet. Betrüger nutzten die Ankündigung der kanadischen Behörden, um Opfer dazu zu bringen, der Echtheit der Webseiten zu glauben.

Die Hacker arbeiten daran, Dateien auf dem Gerät des Opfers zu verschlüsseln. Anstatt das Gerät zu sperren, hinterlassen sie in jedem Verzeichnis mit verschlüsselten Dateien eine „Readme“-Datei mit der E-Mail des Angreifers, wie ESET berichtet. Die Dateien werden via AES mit einem zufällig generierten 16-stelligen Schlüssel kodiert. Sobald CryCryptor eine Datei verschlüsselt, entfernt es die Originaldatei und ersetzt sie durch drei neue Dateien. Daraufhin wird die Benachrichtigung „Persönliche Dateien verschlüsselt, siehe readme_now.txt“ angezeigt.

Das Ransomware-Netzwerk erregte die Aufmerksamkeit der ESET-Forscher, als ein Benutzer einen Tweet veröffentlichte, in dem eine „Malware“ auf der angeblich offiziellen Webseite identifiziert wurde. Das Cyber-Sicherheitsunternehmen analysierte anschließend die App und entdeckte einen „Fehler vom Typ ‚Improper Export of Android Components‘“, den MITRE als CWE-926 bezeichnet“, heißt es in der offiziellen Ankündigung. Dieser befähigte ESET-Forscher zur Entwicklung einer App, die die von den Entwicklern in die Ransomware-App integrierte Entschlüsselungsfunktion startet.

Die CryCryptor-Ransomware basiert auf einem Open-Source-Code, der auf GitHub abrufbar ist. ESET-Forscher erkannten, dass sich die Entwickler der als CryDroid bezeichneten Open-Source-Ransomware sich darüber bewusst waren, dass das Programm für böswillige Zwecke verwendet wird. Sie versuchten ihre Entwicklung als Forschungsprojekt zu tarnen.

„Wir weisen die Behauptung zurück, dass das Projekt Forschungszwecken dient. Kein verantwortlicher Forscher würde öffentlich ein Tool veröffentlichen, das leicht für böswillige Zwecke missbraucht werden kann“, so die Ankündigung. „Wir haben GitHub über die Art dieses Codes informiert“, fügen die Forscher hinzu.