Descubren un ‘ransomware’ que se hacía pasar por aplicación de rastreo de afectados por coronavirus

ESET descubrió y desmanteló una campaña de ransomware contra usuarios de terminales Android que aprovechaba la temática del coronavirus para engañarlos.

El ransomware se difundía a través de dos páginas con información sobre la COVID-19. Estos sitios animaban a descargarse una aplicación que se hacía pasar por una herramienta oficial para el rastreo de afectados por esta enfermedad. En realidad, lo que se acababa descargando era CryCryptor.

La campaña con este malware parece limitarse a Canadá, pero vuelve a poner de manifiesto que los ciberdelincuentes aprovechan incluso situaciones de gravedad, como la crisis sanitaria y social provocada por la pandemia de coronavirus, para ganar dinero a costa de usuarios desprotegidos o poco formados en seguridad online.

Esta acción en concretó coincidió con el anuncio del Gobierno de Canadá sobre el desarrollo de la aplicación voluntaria de rastreo COVID Alert. “Claramente, la operación fue diseñada para aprovecharse de este anuncio”, explica Lukas Stefanko, experto de ESET responsable de la investigación que ha terminado con la campaña.

Ahora, las dos páginas que propagaban CryCryptor están cerradas. Y ESET ha publicado una herramienta que permite revertir los efectos del ransomware tras localizar un bug en la aplicación. “CryCryptor contiene un error en su código que permite que cualquier aplicación instalada en el dispositivo infectado pueda lanzar cualquier servicio proporcionado por la app maliciosa, por lo que creamos una aplicación que lanza la función de descifrado”, comenta Stefanko.

El caso es que CryCryptor se basa en código abierto y podrían llegar versiones nuevas.  “Hemos avisado a GitHub, el sitio en el que está alojado el código, pero no suelen ser muy rápidos en eliminar proyectos maliciosos”, señala el experto de ESET.

“Además de utilizar una solución de seguridad de confianza en el móvil, es importante que los usuarios de Android solo instalen aplicaciones desde fuentes fiables, como la tienda oficial de Google”, recomienda Lukas Stefanko para evitar caer en la trampa de los ciberdelincuentes.