新興的勒索軟件以 Android 設備上的照片和視頻為目標

CryCryptor惡意軟件是一種全新的威脅，它可利用COVID-19進行傳播。

加拿大出現了一種新的勒索軟件，目標是Android用戶，并鎖定了個人照片和視頻。

它最初被稱為CryCryptor，被假裝成加拿大衛生部提供的官方COVID-19追蹤應用程序。據ESET研究人員稱，它是通過偽裝成兩個官方網站的虛假網站來進行傳播的——其中一個稱為tracershield[dot]ca。

與其他勒索軟件系列一樣，它會加密目標文件。但是，CryCryptor不是簡單地鎖定設備，而是在每個目錄中都留下了一個“自述文件”，其中包含攻擊者的電子郵件。在GitHub上也容易找到它的開源代碼。

當有人啟動惡意應用程序時，它會請求訪問設備上的文件。之后，它會使用隨機生成的16個字符的密鑰，也會使用AES對選定的文件進行加密。

據ESET稱，“CryCryptor加密一個文件后，會創建三個新文件，原始文件會被刪除”。”加密文件具有文件擴展名.enc，相應的算法會為每個加密文件生成一個唯一的salt，以擴展名. enc.salt存儲，并進行初始化向量。
有趣的是，目標文件包括照片和視頻。

“該攻擊包括文件類型擴展名，例如.jpg，.png和.avi。KnowBe4的安全意識倡導者Erich Kron通過電子郵件分析。“通過加密手機外部存儲器上的照片和視頻，攻擊者就可以將照片和視頻變成個人信息，并試圖提高他們的支付概率。人們傾向于在他們的設備上保存大量個人照片，這使得他們成為首要目標。”

一旦加密完成，研究人員發現CryCryptor會顯示一個通知，上面寫著:“個人文件已加密，請參閱自述文件。”該自述文件會放在每個包含加密文件的目錄中。

ESET的研究人員通過簡單的搜索發現了GitHub存儲庫，庫里包含“基于應用的包名和一些看起來獨特的字符串。”

開發人員試圖將這個名為CryDroid的項目偽裝成合法項目，并聲稱已將代碼上傳到病毒總數服務。

“他們一定知道這些代碼會被用于惡意目的，”據ESET報道。“我們否認該項目有研究目的的說法——沒有一個負責任的研究人員會公開發布容易被惡意濫用的工具。”

由于惡意應用程序的編碼存在缺陷，研究人員能夠創建一個解密工具。

研究人員在周三的一篇帖子中表示:“我們發現了將這款軟件帶到我們探測器上的推文(發現它的研究人員錯誤地將這款惡意軟件標記為銀行木馬)，之后我們分析了這款應用。”，“我們發現了一個‘安卓組件不當導出’類型的缺陷，MITRE稱之為CWE-926。”

據MITRE稱，當一個安卓應用程序“導出一個組件供其他應用程序使用，但并沒有適當限制哪些應用程序可以啟動該組件或訪問其中包含的數據”時，就會出現這種類型的錯誤，被列為“安卓應用程序組件的不當導出”。

由于應用程序中的缺陷，安裝在受影響設備上的任何其他應用程序都可以啟動惡意軟件提供的任何導出服務。

據ESET稱，“這讓我們能夠創建解密工具——一個應用程序，它啟動了由它的創建者構建在惡意軟件應用程序中的解密功能”。

像其他惡意軟件一樣，CryCryptor也在尋求利用政府推出的COVID-19追蹤應用來對抗這一流行病。加拿大政府正式宣布創建一個名為COVID Alert的全國性自愿追蹤應用，將于7月在Ontario省推出測試。幾天后，新的惡意軟件浮出水面。

另一種新的惡意軟件最近被發現使用相同的策略。“Unicorn”惡意軟件在五月出現，它偽裝成意大利官方的冠狀病毒追蹤應用“Immuni”。真正的測試版正在全國范圍內推出；這個假的應用程序包含一個惡意的可執行文件，據稱來自意大利藥劑師聯合會(FOFI)。

“最成功的網絡釣魚活動是利用一個熱門的、有壓力的事件來為與受害者的交流搭建舞臺，以提高其有效性。”eSentire高級威脅分析總監Rob McLeod通過電子郵件評論說。

他補充道，“COVID-19為網絡犯罪分子開展這些行動提供了理想的背景。用戶可能會對網絡釣魚攻擊很熟悉，CryCrypto并不是第一個野生的安卓軟件。對于移動設備環境中的大多數用戶而言，不同之處在于暴露了通常與網絡釣魚攻擊無關的通信媒介。這包括語音、短信、消息應用程序和社交媒體渠道，攻擊者可以在這些渠道中與潛在的受害者交流，誘使他們安裝非法應用程序。”