Ransomware tarnt sich als Corona-Warn-App

Die Sicherheitsexperten von Eset haben eine Android-App entdeckt, die Dateien auf den Geräten der Opfer verschlüsselt. Sie gibt sich als offizielle kanadische Corona-App zur Kontaktverfolgung aus.

CryCryptor tauchte nur wenige Tage nach der offiziellen Ankündigung der kanadischen Regierung auf, die Entwicklung einer landesweiten, freiwilligen Tracing-App mit dem Namen „COVID Alert“ zu unterstützen. Die offizielle App soll bereits im nächsten Monat in der Provinz Ontario getestet werden. ESET informierte das kanadische Zentrum für Cybersicherheit sofort nach der Entdeckung über diese Bedrohung.

Wenn ein Nutzer CryCryptor zum Opfer fällt, verschlüsselt die Ransomware die Dateien auf dem Gerät – und zwar die meisten gängigen Dateitypen. Doch anstatt das Gerät zu sperren, hinterlässt sie in jedem Verzeichnis mit verschlüsselten Dateien eine ReadMe-Datei mit der E-Mail des Angreifers.

Glücklicherweise konnte ESET ein Entschlüsselungs-Tool für die Opfer der Ransomware erstellen. Bei der Analyse fiel auf, dass es sich, anders als vom Entdecker angenommen, nicht um einen Banking Trojaner handelte. ESET entdeckte darin einen Fehler, der als „Unsachgemäßer Export von Android-Komponenten“ bezeichnet wird und als CWE-926 dokumentiert ist.

Aufgrund dieses Fehlers kann jede App, die auf dem betroffenen Gerät installiert ist, jeden exportierten Dienst starten, den die Ransomware bereitstellt. Auf diese Weise konnte ESET das Entschlüsselungs-Tool erstellen – eine App, die einfach die Entschlüsselungsfunktion der Ransomware-App nutzt.

Nach dem Start der App fordert die Ransomware die Berechtigung für den Dateizugriff auf dem Gerät an. Nach Erhalt dieser Berechtigung werden bestimmte Dateitypen auf den externen Medien verschlüsselt.

Die Dateien werden mit AES mit einem zufällig generierten 16-stelligen Schlüssel verschlüsselt. Nachdem CryCryptor eine Datei verschlüsselt hat, werden drei neue Dateien erstellt und die Originaldatei entfernt.

An die verschlüsselte Datei wird die Dateierweiterung „.enc“ angehängt und der Algorithmus generiert für jede verschlüsselte Datei, die mit der Erweiterung „.enc.salt“ gespeichert ist, ein eindeutiges Salt und einen Initialisierungsvektor „.enc.iv„.

Nachdem alle Zieldateien verschlüsselt wurden, zeigt CryCryptor die Benachrichtigung „Verschlüsselte persönliche Dateien, siehe readme_now.txt“ an. Die Datei readme_now.txt wird in jedem Verzeichnis mit verschlüsselten Dateien abgelegt.

Der für die Entschlüsselung von Dateien in CryCryptor verantwortliche Dienst, speichert den Verschlüsselungsschlüssel in den gemeinsamen Einstellungen, sodass er sich nicht an einen Command-and-Control-Server wenden muss, um ihn abzurufen. Wesentlich ist, dass es aufgrund eines Programmierfehlers (Sicherheitslücke CWE-926) möglich ist die Dienste der App auch von externen Programmen aus zu starten.

Auf dieser Grundlage hat ESET eine Android-Entschlüsselungs-App für diejenigen erstellt, die von der CryCryptor-Ransomware betroffen sind. Natürlich funktioniert die Entschlüsselungs-App nur für diese Version von CryCryptor.

Die CryCryptor-Ransomware basiert auf Open Source-Code, der auf GitHub verfügbar ist. Die ESET-Expertem haben ihn dort mithilfe einer einfachen Suche, auf Basis des Paketnamens der App und einigen einzigartigen Zeichenfolgen, entdeckt.

Die Entwickler der Open-Source-Ransomware mit dem Namen „CryDroid“ haben offensichtlich gewusst, dass der Code für böswillige Zwecke verwendet werden wird. Um das Projekt als Forschungsprojekt zu tarnen, behaupten sie den Code bei VirusTotal hochgeladen zu haben. Es ist unklar, wer das Sample hochgeladen hat, aber tatsächlich erschien es am selben Tag auf VirusTotal als der Code bei GitHub veröffentlicht wurde.

ESET betont, dass ein verantwortlicher Forscher kein derartiges Tool veröffentlichen würde, das leicht für böswillige Zwecke missbraucht werden kann, und hat deshalb GitHub über diesen Code informiert.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Jakob Jung

Recent Posts

Aukey-Webcam PC-LM1E mit 1080P ausprobiert

Mit der PC-LM1E bietet Aukey eine USB-Webcam mit einer Auflösung von maximal 1080P. Die Übertragungsrate…

14 Stunden ago

GitHub schließt von Google entdeckte Zero-Day-Lücke

Die Microsoft-Tochter verpasst die Frist von 90 Tagen sowie die von Google gewährte Verlängerung von…

14 Stunden ago

Apples Head of Global Security wegen Bestechung angeklagt

Er soll Polizeibeamten eine Spende über 200 iPads als Gegenleistung für eine Waffenlizenz geboten haben.…

16 Stunden ago

VMware warnt vor kritischer Zero-Day-Lücke in Workspace One

Sie ermöglicht eine Code-Ausführung außerhalb der virtuellen Umgebung. Ein Angreifer benötigt allerdings gültige Anmeldedaten. VMware…

18 Stunden ago

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Cyberkriminelle kapern die Websites per Brute Force. Anschließend schleusen sie Schadcode ein, der schließlich statt…

20 Stunden ago

Kontoübername mit einem Klick: TikTok schließt schwerwiegende Sicherheitslücke

Ein unabhängiger Sicherheitsforscher kombiniert zwei Fehler zu einem Exploit. Betroffen ist die TikTok-Website. Der Forscher…

21 Stunden ago