Dado que el coronavirus ha sido declarado pandemia, los malos actores seguramente se aprovecharán de la incertidumbre que lo rodea para atacar a una gran cantidad de usuarios en línea.
El equipo de Zscaler ThreatLabZ encontró recientemente una URL llamada hxxp: // coronavirusapp [.] Site / mobile.html, que se presenta como un sitio de descarga para una aplicación de Android que rastrea la propagación del coronavirus por todo el mundo. En realidad, la aplicación es un ransomware de Android, que bloquea a la víctima y solicita un rescate para desbloquear el dispositivo.
La captura de pantalla a continuación muestra el informe de análisis de comportamiento en la nube de Zscaler donde el APK de muestra está marcado como malicioso.
Tras una mayor investigación, encontramos un artículo en el que los investigadores de seguridad de Domain Tools encontraron el mismo ransomware.
Como sus detalles básicos están cubiertos en el artículo, no entraremos en esa discusión aquí. En su lugar, haremos un recorrido técnico de la aplicación. También describiremos una rutina de desbloqueo, que se puede utilizar si es víctima de este ransomware CovidLock.
La aplicación se presenta a sí misma como un rastreador de coronavirus. Tan pronto como comienza a funcionar, le pide al usuario que le permita realizar la optimización de la batería. El ransomware hace esto para seguir ejecutándose en segundo plano y para asegurarse de que Android no cierre la aplicación para optimizar el rendimiento de la batería.
Una vez que finaliza la fase inicial, la aplicación solicita acceso a la función de accesibilidad de Android.
Al integrar funciones y servicios de accesibilidad, los desarrolladores de Android pueden mejorar la usabilidad de la aplicación, especialmente para usuarios con discapacidades. Pero es común que los atacantes usen esta funcionalidad para mantener persistente el malware.
Después de la solicitud de accesibilidad, la aplicación solicita privilegios de administrador, lo que debería generar una señal de alerta para algunos usuarios.
Para obtener estos derechos, la aplicación intenta engañar a la víctima indicando que si los derechos de administrador están activados, la aplicación puede notificar al usuario cuando un paciente con coronavirus está cerca.
Una vez que la aplicación obtiene los derechos de administrador, se lanza el ataque. Tan pronto como la víctima hace clic en “Scan Area For Coronavirus”, el teléfono se bloquea con un mensaje en la pantalla bloqueada. Pide $ 250 como rescate en forma de bitcoins. De no hacerlo, según el atacante, puede provocar la filtración de los datos privados de la víctima, incluidas fotos, videos y más.
