Οι ερευνητές ασφαλείας της ESET ανακάλυψαν ένα νέο ransomware που ονομάζεται CryCryptor, το οποίο είναι μεταμφιεσμένο ως μία επίσημη εφαρμογή ανίχνευσης COVID-19 για τους κατοίκους του Καναδά. Το ransomware εμφανίστηκε λίγες ημέρες μετά την ανακοίνωση της Καναδικής κυβέρνησης για την ανάπτυξη μιας εθνικής, εθελοντικής εφαρμογής ανίχνευσης που ονομάζεται COVID Alert και η οποία θα κυκλοφορήσει για δοκιμές στο Οντάριο τον επόμενο μήνα.
Το CryCryptor διανέμεται από δύο ιστοσελίδες που ισχυρίζονται ότι είναι μια εφαρμογή ανίχνευσης COVID-19, ενώ στην πραγματικότητα ανήκει στην κατηγορία των ransomware. Μόλις ο χρήστης εγκαταστήσει την ψεύτικη εφαρμογή στο smartphone, το ransomware κρυπτογραφεί όλα τα αρχεία στη συσκευή του, και αντί να κλειδώνει το κινητό, το CryCryptor αφήνει ένα αρχείο readme με το email του εισβολέα σε κάθε φάκελο μαζί με τα κρυπτογραφημένα αρχεία. Μόλις κρυπτογραφηθούν όλα τα αρχεία, εμφανίζεται μία ειδοποίηση στη συσκευή με την ένδειξη «Προσωπικά αρχεία κρυπτογραφημένα, δείτε το αρχείο readme_now.txt».
Ευτυχώς όμως, μετά την ανάλυση της εφαρμογής, οι ερευνητές της ESET ανακάλυψαν ένα bug (Improper Export of Android Components) που τους επέτρεψε να δημιουργήσουν ένα εργαλείο αποκρυπτογράφησης. Με μία απλή αναζήτηση με βάση το όνομα του πακέτου της εφαρμογής, οι ερευνητές της ESET ανακάλυψαν ότι το ransomware CryCryptor βασίζεται σε ανοιχτού τύπου κώδικα (open source) που είναι ήδη διαθέσιμος στο GitHub.
Οι προγραμματιστές πίσω από το open source ransomware του έδωσαν το όνομα CryDroid πριν το ανεβάσουν στην πλατφόρμα του GitHub. Προσπάθησαν επίσης να συγκαλύψουν το έργο ως έρευνα ισχυριζόμενοι ότι ανέβασαν τον κώδικα στο VirusTotal. Προς το παρόν δεν είναι ακόμη σαφές ποιος ανέβασε το CryDroid, αλλά ο κώδικας εμφανίστηκε στο VirusTotal την ίδια ημέρα που δημοσιεύτηκε στο GitHub. Σε μια δημοσίευση, οι ερευνητές της ESET εξήγησαν ότι δεν υπάρχει τρόπος να σχεδιαστεί το έργο για ερευνητικούς σκοπύς, καθώς κανένας υπεύθυνος ερευνητής δεν θα κυκλοφορήσει δημόσια ένα εργαλείο που είναι εύκολο να χρησιμοποιηθεί για κακόβουλους σκοπούς.
Για όσους έχουν πέσει θύματα του CryCryptor, μπορούν να κατεβάσουν την εφαρμογή αποκρυπτογράφησης της ESET, αν και η εταιρία ασφαλείας προειδοποιεί ότι η εφαρμογή θα λειτουργεί μόνο για αυτήν την έκδοση του ransomware.