El nuevo ransomware de Android se presenta como una aplicación de monitoreo COVID-19

Investigadores de ESET han advertido esta semana en Secuestro de datos que apareció pocos días después de que Health Canada anunciara la aplicación COVID Alert, que se probará en Ontario por primera vez antes de estar disponible en todo el país.

Aunque la aplicación oficial debería estar disponible para usuarios móviles a partir del próximo mes, los ciberdelincuentes están tratando de aprovechar el anuncio del gobierno con su aplicación de Android que se presenta como la aplicación oficial de seguimiento COVID-19 de Canadá.

Según los investigadores, dos sitios web ofrecen la aplicación Health Canada para monitorear COVID-19. Sin embargo, el dominio tracershield[.]ca i covid19tracer[.]ca en realidad aloja APK que, cuando se descargan, instalan CryCryptor ransomware en dispositivos Android.

El ransomware primero llamó la atención de ESET gracias al usuario de Twitter @ReBensk que advirtió que estos APK ocultaban un troyano bancario, pero después de un análisis más detallado del código, el malware resultó ser un nuevo ransomware.

Si un usuario de Android descarga un APK de estos dominios e instala la aplicación, el malware requiere acceso a los archivos y comienza a cifrar el contenido del dispositivo con ciertas extensiones, incluido .PNG.

.ENC se agrega a los archivos cifrados. Se deja un archivo de texto con una solicitud de rescate en cada carpeta donde se almacenan los archivos cifrados.

ESET ha logrado crear una herramienta de descifrado para la versión actual del malware de Android y la herramienta está disponible en GitHub.

El código fuente del ransomware se hizo público el 11 de junio y, según los investigadores, un desarrollador que llamó al malware de código abierto CryDroid lo disfrazó como un proyecto de investigación.

“Rechazamos la afirmación de que el proyecto tiene fines de investigación: ningún investigador responsable divulgará públicamente una herramienta que se utilice fácilmente con fines maliciosos”, dijo ESET, que introdujo a GitHub sobre la verdadera naturaleza del código.