El ransomware CryCryptor se disfrazó como una aplicación anti-coronavirus

La pandemia del nuevo coronavirus ha provocado la aparición de varias aplicaciones para ayudar a las personas a controlar la propagación de la enfermedad, pero también para controlar el movimiento de las personas infectadas. En nuestra región, fueron principalmente los proyectos Stay Healthy y eQarantine.

Se crearon aplicaciones similares en todo el mundo, como hongos después de la lluvia, y Google y Apple también presentaron sus propias soluciones. Por lo tanto, no será una gran sorpresa que este auge en las aplicaciones auxiliares también haya atraído elementos injustos. Han comenzado a surgir varias aplicaciones fraudulentas que realizan actividades maliciosas.

Su misión básica era, en última instancia, recaudar fondos para sus creadores. Parecían herramientas interesantes para rastrear el movimiento de personas infectadas, pero en realidad a menudo eran ransomware. Después de la instalación, la aplicación cifró el contenido del teléfono inteligente y requirió que el usuario pagara una tarifa de rescate por ponerlo a disposición nuevamente.

Las campañas fraudulentas aparecen regularmente y abusan de sus propósitos prácticamente todo lo que gana popularidad o causa gran preocupación entre la población. Un ejemplo reciente de cómo hacerse rico con los temores de las personas fue, por ejemplo, una llave USB que se suponía que debía proteger contra 5G. Por lo tanto, no tiene que ser explícitamente ransomware, aunque es una práctica común con los teléfonos inteligentes. Los delincuentes simplemente no se protegen.

Ransomware CryCryptor ataques

Portal AndroidAutoridad En relación con el ransomware enfocado en teléfonos inteligentes, llamó la atención sobre un caso interesante de Canadá. El mismo día que el primer ministro canadiense, Justin Trudeau, anunció un proyecto de aplicación móvil a nivel nacional para rastrear posibles encuentros con personas infectadas, los delincuentes crearon una aplicación falsa con el ransomver CryCryptor. Entonces, la aplicación parecía una ayuda, pero en realidad era una estafa grande y oportuna.

En el caso del ransomware CryCryptor, los atacantes confían en la víctima para descargar una aplicación fraudulenta en su teléfono inteligente e instalarla manualmente desde fuentes no verificadas. La aplicación falsa no se pudo introducir de contrabando en la tienda oficial de Google Play, pero en el ataque se utilizó un sitio web oficial con un enlace para descargar la aplicación.

A primera vista, este enlace parecía inocente. Abusó de las características oficiales de la tienda Google Play, pero no redirigió a la víctima después de hacer clic, sino que comenzó a descargar directamente el archivo .APK de instalación. Si una persona instaló la aplicación y luego la inició, entró en una situación poco envidiable.

CryCryptor entró en su trabajo y cifró datos importantes. Después de completar esta actividad, creó un archivo “readme_now.txt”, que contenía instrucciones sobre cómo contactar a los atacantes para descifrar los archivos.

ESET ha lanzado una herramienta de descifrado de archivos

La campaña llamó la atención de la compañía de seguridad de ESET ella miraba duro el diente. Además de bloquear varios sitios utilizados en la campaña, ESET ha creado una herramienta de descifrado gratuita. Los archivos de las víctimas no se pierden y nadie tiene que pagar un rescate.

Este caso se dirigió específicamente a la gente de Canadá, pero están sucediendo cosas similares en todo el mundo. Por lo tanto, se debe tener mucho cuidado al manejar los archivos de instalación e idealmente evitarse por completo. Las tiendas oficiales tienen suficiente contenido y el riesgo es alto.