Ransomware tarnt sich als Corona-Warn-App

Eine neue Ransomware namens CryCryptor täuscht vor, die offizielle Corona-Tracing-App des kanadischen Gesundheitsministeriums zu sein.

Die Sicherheitsexperten von Eset haben eine Android-App entdeckt, die Dateien auf den Geräten der Opfer verschlüsselt. Sie gibt sich als offizielle kanadische Corona-App zur Kontaktverfolgung aus.

CryCryptor tauchte nur wenige Tage nach der offiziellen Ankündigung der kanadischen Regierung auf, die Entwicklung einer landesweiten, freiwilligen Tracing-App mit dem Namen „COVID Alert“ zu unterstützen. Die offizielle App soll bereits im nächsten Monat in der Provinz Ontario getestet werden. ESET informierte das kanadische Zentrum für Cybersicherheit sofort nach der Entdeckung über diese Bedrohung.

Wenn ein Nutzer CryCryptor zum Opfer fällt, verschlüsselt die Ransomware die Dateien auf dem Gerät – und zwar die meisten gängigen Dateitypen. Doch anstatt das Gerät zu sperren, hinterlässt sie in jedem Verzeichnis mit verschlüsselten Dateien eine ReadMe-Datei mit der E-Mail des Angreifers.

Glücklicherweise konnte ESET ein Entschlüsselungs-Tool für die Opfer der Ransomware erstellen. Bei der Analyse fiel auf, dass es sich, anders als vom Entdecker angenommen, nicht um einen Banking Trojaner handelte. ESET entdeckte darin einen Fehler, der als „Unsachgemäßer Export von Android-Komponenten“ bezeichnet wird und als CWE-926 dokumentiert ist.

Aufgrund dieses Fehlers kann jede App, die auf dem betroffenen Gerät installiert ist, jeden exportierten Dienst starten, den die Ransomware bereitstellt. Auf diese Weise konnte ESET das Entschlüsselungs-Tool erstellen – eine App, die einfach die Entschlüsselungsfunktion der Ransomware-App nutzt.

Nach dem Start der App fordert die Ransomware die Berechtigung für den Dateizugriff auf dem Gerät an. Nach Erhalt dieser Berechtigung werden bestimmte Dateitypen auf den externen Medien verschlüsselt.

Die Dateien werden mit AES mit einem zufällig generierten 16-stelligen Schlüssel verschlüsselt. Nachdem CryCryptor eine Datei verschlüsselt hat, werden drei neue Dateien erstellt und die Originaldatei entfernt.

An die verschlüsselte Datei wird die Dateierweiterung „.enc“ angehängt und der Algorithmus generiert für jede verschlüsselte Datei, die mit der Erweiterung „.enc.salt“ gespeichert ist, ein eindeutiges Salt und einen Initialisierungsvektor „.enc.iv„.

Nachdem alle Zieldateien verschlüsselt wurden, zeigt CryCryptor die Benachrichtigung „Verschlüsselte persönliche Dateien, siehe readme_now.txt“ an. Die Datei readme_now.txt wird in jedem Verzeichnis mit verschlüsselten Dateien abgelegt.

Der für die Entschlüsselung von Dateien in CryCryptor verantwortliche Dienst, speichert den Verschlüsselungsschlüssel in den gemeinsamen Einstellungen, sodass er sich nicht an einen Command-and-Control-Server wenden muss, um ihn abzurufen. Wesentlich ist, dass es aufgrund eines Programmierfehlers (Sicherheitslücke CWE-926) möglich ist die Dienste der App auch von externen Programmen aus zu starten.

Auf dieser Grundlage hat ESET eine Android-Entschlüsselungs-App für diejenigen erstellt, die von der CryCryptor-Ransomware betroffen sind. Natürlich funktioniert die Entschlüsselungs-App nur für diese Version von CryCryptor.

Die CryCryptor-Ransomware basiert auf Open Source-Code, der auf GitHub verfügbar ist. Die ESET-Expertem haben ihn dort mithilfe einer einfachen Suche, auf Basis des Paketnamens der App und einigen einzigartigen Zeichenfolgen, entdeckt.

Die Entwickler der Open-Source-Ransomware mit dem Namen „CryDroid“ haben offensichtlich gewusst, dass der Code für böswillige Zwecke verwendet werden wird. Um das Projekt als Forschungsprojekt zu tarnen, behaupten sie den Code bei VirusTotal hochgeladen zu haben. Es ist unklar, wer das Sample hochgeladen hat, aber tatsächlich erschien es am selben Tag auf VirusTotal als der Code bei GitHub veröffentlicht wurde.

ESET betont, dass ein verantwortlicher Forscher kein derartiges Tool veröffentlichen würde, das leicht für böswillige Zwecke missbraucht werden kann, und hat deshalb GitHub über diesen Code informiert.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: COVID-19, Eset, GitHub, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Ransomware tarnt sich als Corona-Warn-App

Kommentar hinzufügen
  • Am 24. Juni 2020 um 21:55 von C3PO

    Ich finde es irreführend, dass Sie in der Nachrichtenübersicht das Icon der deutschen Warn-App bringen. Man muss erst den Text lesen, um zu merken, dass die gar nicht betroffen ist – auch wenn es nicht auszuschließen ist, dass zukünftig irgendjemand eine Ransomware mit Pseudo-Bezug zur deutschen App veröffentlicht.

    Angesichts der (erwünschten) hohen Download-Zahlen der Apps sehe ich auch die App-Store-Betreiber in der Pflicht. Wissen Sie, ob die Ransomware im Play-Store veröffentlicht worden war?

  • Am 30. Juni 2020 um 10:30 von Kottan58

    Schlechter Journalismus. Kanadische App und deutsches Symbol. So wird doch nur ein falsche Angst geschürt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *