SecurityOpenLab

App di contact tracing sul Play Store: è un ransomware

Brutta avventura per gli utenti che credevano di scaricare l'app di contact tracing ufficiale, invece si sono visti crittografare i file dello smartphone da un ransomware.

Le sicurezza delle app di contact tracing torna a preoccupare dopo la scoperta di un ransomware Android travestito da app per il tracciamento. È successo in Canada, ma è la dimostrazione pratica del fatto che gli allarmi degli esperti di sicurezza erano fondati.

Check Point Software Technologies aveva previsto che "il rischio maggiore nell’app italiana è che venga scaricata un’app fake che ovviamente non si limiterebbe a fare quello che dovrebbe fare Immuni". Guardsquare aveva alzato il tiro rilanciando questa preoccupazione e aggiungendone altre.

Quello che tutti temevano alla fine è successo: il ransomware CryCryptor per Android si maschera come la legittima app di contact tracing contro il COVID-19 del governo canadese. L'app malevola è presente sul Play Store ufficiale di Google, durante l'installazione richiede l'autorizzazione per accedere ai file e crittografa tutto il contenuto del dispositivo. 
contact tracing jpegQuesto significa che non basta evitare di scaricare le app di tracciamento da store non ufficiali. Bisogna necessariamente controllare l'autore, i loghi, le immagini, e accertarsi che ogni minimo dettaglio corrisponda all'app ufficiale.

La spiacevole scoperta è stata fatta dai ricercatori di ESET. In un primo momento si sospettava che fosse un trojan bancario, ma a un'accurata analisi è emersa la vera natura della minaccia. I file vengono crittografati con una chiave AES di 16 caratteri generata in modo casuale. L'algoritmo genera un salt univoco per ogni file crittografato, memorizzato con l'estensione ".enc.salt"; e un vettore di inizializzazione ".enc.iv". Ricordiamo a tale proposito che salt consiste nell'aggiunta di caratteri casuali alla sequenza. 

A svelare quello che è successo sono tre nuovi file che prendono il posto di quello originario, che invece è stato rimosso. In più c'è la richiesta di riscatto: una notifica rimanda a un file di testo che è presente in ogni directory in cui sono memorizzati crittografati. Qui è riportato l'importo richiesto per la chiave di decifrazione e le istruzioni per il pagamento.

La buona notizia

I ricercatori hanno individuato un bug nell'esportazione impropria dei componenti dell'applicazione malevola. Consente ad altre applicazioni di utilizzare un componente dell'app in questione. Da qui è stato possibile capire che il ransomware si basa su un codice open source disponibile su GitHub. Per gli esperti è stato facile generare un decryptor gratuito che permette alle vittime di tornare il possesso dei dati senza pagare alcun riscatto.

La cattiva notizia

contact tracing malwareIl fatto che CryCryptor abbia preso di mira gli utenti Android canadesi non significa che quelli di altri Paesi siano al sicuro. Quanto accaduto è la conferma inequivocabile che le app di contact tracing sono nel mirino dei cyber criminali. Il modello adottato in Canada potrebbe essere replicato ovunque e in pochissimo tempo. --------Pertanto è necessario tenere alta la guardia e accertarsi di scaricare solo le app legittime, facendo tutti i controlli indicati sopra.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 26/06/2020

Tag: ransomware app eset coronavirus contact tracing


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore