Badacze firmy Eset odkryli aplikację na Androida, która podszywając się pod oficjalną aplikację do monitorowania kontaktów z osobami zarażonymi koronawirusem, infekowała smartfony użytkowników i szyfrowała ich dane. Ransomware zidentyfikowany jako CryCryptor podszywał się pod oficjalną aplikację przygotowaną przez kanadyjskie władze.
Do infekcji urządzenia dochodziło za pośrednictwem jednej z dwóch specjalnie spreparowanych stron internetowych. Ofiary pobierały z nich aplikację, która po instalacji szyfrowała wszystkie dane użytkownika zgromadzone na urządzeniu. Krótko po zidentyfikowaniu zagrożenia strony internetowe wykorzystywane do jego dystrybucji zostały zlikwidowane, a korzystając z luki w kodzie wirusa ekspertom Eset udało się przygotować narzędzie deszyfrujące, za pomocą którego ofiary mogą odzyskać dostęp do swoich danych.
Choć zagrożenie ze strony opisywanej kampanii zostało zażegnane, nie oznacza to, że ransomware przestał być niebezpieczny. Kod CryCryptora jest publicznie dostępny na platformie GitHub. Jej administratorzy zostali poinformowani o sytuacji, jednak do tej pory nie został on usunięty, podaje w komunikacie Eset.
Opisywany incydent nie jest jedynym tego typu przypadkiem na świecie. Przestępcy chętnie podszywają się pod aplikacje do monitorowania kontaktów, co potwierdza m.in. niedawny raport firmy Anomali, która zidentyfikowała 12 takich przypadków na całym świecie. Eksperci Eset nie wykluczają, że podobny incydent może wydarzyć się także w Polsce.
– Poza korzystaniem ze skutecznego pakietu bezpieczeństwa dla urządzeń mobilnych, zalecamy użytkownikom Androida, by nie instalowali aplikacji spoza sprawdzonych źródeł, takich jak Sklep Google Play – radzi Lukáš Štefanko z Eset.