Finta app di tracciamento del Coronavirus per Android blocca il dispositivo

Abbiamo recentemente riportato come gli hacker stessero abusando della mortale pandemia di Coronavirus (COVID-19) a loro vantaggio sfruttando le mappe del Coronavirus per rubare informazioni degli utenti.

Non solo questo, i criminali informatici hanno anche utilizzato la paura dell’epidemia di coronavirus per lanciare campagne email per infettare i sistemi degli utenti con malware.

Sfruttando ulteriormente questa situazione, un’app Android malevola sta ora circolando che afferma di aiutare a tracciare i casi di coronavirus ma invece installa ransomware e blocca gli utenti fuori dal loro dispositivo.

Scoperto dalla società di intelligence sulle minacce DNS DomainTools, il nuovo ransomware soprannominato “CovidLock” utilizza tecniche per negare alla vittima l’accesso al proprio telefono costringendo a cambiare la password utilizzata per sbloccare il telefono. Questo è noto anche come attacco di blocco dello schermo ed è stato già visto in precedenti ransomware Android.

“I criminali informatici amano sfruttare le persone quando sono più vulnerabili. Usano eventi drammatici che causano emozioni o paura per aumentare i loro profitti,” ha scritto Tarik Saleh, Ingegnere della Sicurezza Senior e Ricercatore di Malware presso DomainTools in un post sul blog. “Il coronavirus non è diverso. Poco dopo la conferma dei primi casi, i ricercatori di DomainTools hanno osservato un leggero aumento nei nomi di dominio che sfruttano Coronavirus e COVID-19. Queste registrazioni sono aumentate significativamente nelle ultime settimane e molti di esse sono truffe.”

Il dominio (coronavirusapp[.]site) e (coronavirusapp[.]site/mobile.html) affermano di avere un tracker dell’epidemia di Coronavirus in tempo reale disponibile tramite un download dell’app.

Il dominio invita gli utenti a scaricare un’app Android che darà loro accesso a un tracker della mappa del Coronavirus che sembra fornire informazioni di tracciamento e statistiche su COVID-19, inclusi visualizzazioni della mappa di calore. In realtà, l’app è dotata di ransomware.

Una volta che il ransomware esegue un attacco di blocco dello schermo, le vittime ricevono una scadenza di 48 ore per pagare un riscatto di $100 in bitcoin per rimuovere il blocco. Vengono anche minacciati che i loro contatti, foto, video e la memoria del telefono verrebbero cancellati così come i loro account sui social media verrebbero resi pubblici.

“Nota: il tuo GPS è monitorato e la tua posizione è conosciuta. Se provi a fare qualcosa di stupido, il tuo telefono verrà automaticamente cancellato,” afferma l’app di ransomware.

Per i dispositivi Android Nougat e versioni successive, esiste una protezione contro questo tipo di attacco. Tuttavia, funziona solo se l’utente ha impostato una password. Coloro che non hanno impostato una password sul proprio telefono per sbloccare lo schermo sono ancora vulnerabili al ransomware CovidLock.

Fortunatamente, DomainTools ha ingegnerizzato a ritroso le chiavi di decrittazione e pubblicherà la chiave pubblicamente (anche se un utente di Reddit ha pubblicato apparentemente la password). Il team ha anche il portafoglio bitcoin dell’attaccante e sta monitorando le transazioni associate.

Per proteggerti, assicurati di scaricare app Android solo dal Google Play Store e non da negozi di terze parti non affidabili. Inoltre, evita di cliccare su qualsiasi cosa relativa alla salute nelle tue email.