TOOLinux

Le journal du Libre

Canada : un ransonware Android basé sur du code open source

lundi 29 juin 2020

L’éditeur ESET a découvert un nouveau rançongiciel déguisé en fausse application Android de traçage COVID-19. Un décrypteur permet de s’en prémunir. Particularité : il est basé sur du code open source.

Canada : un ransonware Android basé sur du code open source
Crédit image : FrancoisCharron.com, 2020 (lien au bas de l’article)

CryCryptor : explications

Les chercheurs de l’éditeur ont découvert une opération de rançongiciel ciblant les utilisateurs d’Android au Canada, grâce à un tweet annonçant la découverte de ce qui était censé être un malware bancaire Android.

Grâce à deux sites Web sur la COVID-19, les attaquants à l’origine de l’opération ont incité les Canadiens à télécharger une application de rançongiciel déguisée en outil de traçage officiel COVID-19. Les deux sites Web ont maintenant été supprimés.

Le ciblage de l’opération de rançongiciel, y compris son timing, coïncidaient avec l’annonce (announcement) par le gouvernement canadien de l’intention de soutenir le développement de COVID Alert, une appli de traçage volontaire à l’échelle nationale.

En dehors du Canada, d’autres victimes ont pu être touchées.

Comment se sortir de CryCryptor

Pour les victimes de CryCryptor, ESET annonce avoir développé un outil de décryptage, basé sur un bogue dans l’application malveillante.

« CryCryptor contient un bogue dans son code qui permet à n’importe quelle appli installée sur l’appareil infecté de lancer n’importe quel service fourni par l’appli de ce bogue. Nous avons donc créé une appli qui lance la fonctionnalité de décryptage intégrée à CryCryptor. (...) Nous avons informé GitHub, où le code est hébergé, mais ils n’ont pas vraiment d’excellents antécédents dans la suppression de projets malveillants » - Lukáš Štefanko, ESET.

CryCryptor est en effet basé sur un code open source.

Bonne nouvelle pour les clients des produits ESET : ils offrent déjà une protection contre le rançongiciel CryCryptor et le détectent comme Android/CryCryptor.A.

- Illustration : François Charron (source)