ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha anunciado el descubrimiento de una nueva campaña de ransomware dirigida a usuarios de dispositivos Android en Canadá. A partir de un tuit que anunciaba el descubrimiento de lo que parecía un malware bancario, la compañía encontró dos webs de información sobre la COVID-19 en las que los atacantes animaban a las potenciales víctimas a descargarse una app falsa disfrazada de herramienta oficial para el rastreo de afectados por el coronavirus. Ahora, las dos páginas web están cerradas.
Además, los investigadores de ESET han publicado una herramienta de descifrado del ransomware, denominado CryCryptor, gracias a un bug encontrado en la app maliciosa.
“CryCryptor contiene un error en su código que permite que cualquier aplicación instalada en el dispositivo infectado pueda lanzar cualquier servicio proporcionado por la app maliciosa, por lo que creamos una aplicación que lanza la función de descifrado”, explica Lukas Stefanko, experto de ESET responsable de la investigación.
Esta campaña de propagación de ransomware, incluyendo su fecha de lanzamiento, coincide con el anuncio por parte del Gobierno de Canadá de desarrollar una aplicación de rastreo de uso voluntario en todo el país llamada COVID Alert. “Claramente, la operación fue diseñada para aprovecharse de este anuncio”, comenta Stefanko.
Ahora que las webs están cerradas y que existe una herramienta de descifrado, esta aplicación no supone ningún riesgo para los usuarios de Android. Pero esta afirmación sólo es válida para esta versión en concreto de CryCryptor, ya que es un ransomware basado en código abierto. “Hemos avisado a GitHub, el sitio en el que está alojado el código, pero no suelen ser muy rápidos en eliminar proyectos maliciosos”, alerta Stefanko. “Además de utilizar una solución de seguridad de confianza en el móvil, es importante que los usuarios de Android solo instalen aplicaciones desde fuentes fiables, como la tienda oficial de Google”.
Las soluciones de ESET protegen a los usuarios de Android de CryCryptor y lo detectan como Android/CryCryptor.A. Para más información sobre este ransomware, se puede visitar el blog de ESET.