Фальшивое приложение для отслеживания коронавируса для Android блокирует устройство

Мы недавно сообщали о том, как хакеры использовали смертоносную пандемию коронавируса (COVID-19) в своих интересах, эксплуатируя карты коронавируса для кражи пользовательской информации.

Не только это, киберпреступники также использовали страх перед вспышкой коронавируса для запуска email-кампаний, чтобы заразить системы пользователей вредоносным ПО.

Эксплуатируя эту ситуацию дальше, злонамеренное приложение для Android сейчас распространяется, утверждая, что помогает отслеживать случаи коронавируса, но вместо этого устанавливает программное обеспечение-вымогатель и блокирует пользователей от доступа к их устройству.

Обнаруженное компанией DNS threat intelligence DomainTools, недавно обнаруженное программное обеспечение-вымогатель, названное «CovidLock», использует техники, чтобы лишить жертву доступа к их телефону, принуждая изменить пароль, используемый для разблокировки телефона. Это также известно как атака на блокировку экрана и уже наблюдалось ранее на программном обеспечении-вымогателе для Android.

«Киберпреступники любят эксплуатировать людей, когда они наиболее уязвимы. Они используют драматические события, которые вызывают у людей эмоции или страх, чтобы увеличить свою прибыль», - написал Тарик Салех, старший инженер по безопасности и исследователь вредоносного ПО в DomainTools в блоге. «Коронавирус не исключение. Вскоре после подтверждения первых случаев, исследователи DomainTools заметили незначительное увеличение доменных имен, использующих коронавирус и COVID-19. Эти регистрации значительно возросли за последние несколько недель, и многие из них являются мошенничеством.»

Домен (coronavirusapp[.]site) и (coronavirusapp[.]site/mobile.html) утверждают, что у них есть трекер вспышки коронавируса в реальном времени, доступный для загрузки приложения.

Домен предлагает пользователям загрузить приложение для Android, которое даст им доступ к трекеру карты коронавируса, который, по-видимому, предоставляет информацию о отслеживании и статистическую информацию о COVID-19, включая визуализацию тепловых карт. На самом деле приложение оснащено программным обеспечением-вымогателем.

Как только программное обеспечение-вымогатель выполняет атаку на блокировку экрана, жертвам дается 48-часовой срок для оплаты выкупа в размере 100 долларов в биткойнах, чтобы снять блокировку. Им также угрожают, что их контакты, фотографии, видео и память телефона будут стерты, а их аккаунты в социальных сетях будут публично раскрыты.

«Примечание: Ваш GPS отслеживается, и ваше местоположение известно. Если вы попытаетесь сделать что-то глупое, ваш телефон будет автоматически стерто», - утверждает приложение-вымогатель.

Для устройств Android Nougat и более поздних версий предусмотрена защита от этого типа атаки. Однако она работает только в том случае, если пользователь установил пароль. Те, кто не установил пароль на своем телефоне для разблокировки экрана, по-прежнему уязвимы к программному обеспечению-вымогателю CovidLock.

К счастью, DomainTools обратным образом разработали ключи для расшифровки и опубликуют ключ публично (хотя один Redditor также опубликовал предполагаемый пароль). Команда также имеет биткойн-кошелек злоумышленника и отслеживает транзакции, связанные с ним.

Чтобы защитить себя, убедитесь, что вы загружаете приложения для Android только из Google Play Store, а не из каких-либо ненадежных сторонних магазинов. Также воздержитесь от нажатия на что-либо, связанное со здоровьем, в вашем email.