CovidLock zsarolóvírus


2020. március 19. 11:38

Felfedezés dátuma

2020.03.19.

Súlyosság

Közepes

Összefoglaló

A DomainTools biztonsági csapata a koronavírus fertőzés (COVID-19) kapcsán regisztrált domainek figyelése során fedezte fel a coronavirusapp[.]site weboldalt, amely egy Androidos applikáció letöltésére próbálja meg rávenni a felhasználókat, amely az ígéret szerint segítséget nyújt a vírus terjedésének nyomon követéséhez az Egyesült Államokban, azonban valójában egy ransomware-t tartalmaz (CovidLock).

Leírás

A DomainTools biztonsági csapata a koronavírus fertőzés (COVID-19) kapcsán regisztrált domainek figyelése során fedezte fel a coronavirusapp[.]site weboldalt, amely egy Androidos applikáció letöltésére próbálja meg rávenni a felhasználókat.

A cég vizsgálata szerint a CovidLock ransomware alapvető funkciója, hogy a telefon képernyőjét zárolja. Természetesen az eszköz újraindítása ilyen esetben nem nyújt megoldást.

A káros kód képes ellenőrizni a felhasználó jogosultsági szintjét. A CovidLock-nak a működéshez szüksége van adminisztrátori jogosultságra (BIND_DEVICE_ADMIN). Amennyiben a felhasználó ezt engedélyezi, a CovidLock közel teljes hozzáférést szerez az eszközhöz.

Az engedélyt a felhasználó megtévesztésével szerzik meg, a képernyőn látszólag az “online COVID statisztikák engedélyezése” illetve az “ismert COVID fertőzöttek lokációjának ismerete” engedélykérések jelennek meg.

A ransomware egy bit[.]ly URL-el kommunikál, amely egy pastebin oldalra mutat (hXXps://pastebin[.]com/zg6rz6qT). Itt tárolódnak a ransomnote üzenetek és a Bitcoin tárca címek. A ransomnote 2 napos határidőt ad a 100 USD váltságdíj megfizetésére. A fizetés megtagadása esetén a telefon adattartalma törlésre kerül.

Egyes biztonsági szakértők szerint az Android Nougat operációs rendszer védett az ilyen típusú támadásokkal szemben.

Megoldás

A DomainTools képes volt visszafejteni a CovidLock által használt titkosító kulcsot, ezzel meghatározva a statikus dekriptáló kulcsot, amely a következő 4865083501.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)

Hivatkozások

Egyéb referencia: www.domaintools.com
Egyéb referencia: www.techrepublic.com
Egyéb referencia: www.businessinsider.com
Egyéb referencia: www.androidauthority.com

Indikátorok

Indikátorok (IoC):

coronavirusapp[.]site
dating4sex[.]us
dating4free[.]us
perfectdating[.]us
redditdating[.]us
pastebin[.]com/zg6rz6qT
pastebin[.]com/GK8qrfaC
APK MD5: 69a6b43b5f63030938c578eec05993eb
APK SHA256: c844992d3f4eecb5369533ff96d7de6a05b19fe5f5809ceb1546a3f801654890
phc859mgge638@inbox.ru

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
CVE-2025-27038 – Qualcomm Multiple Chipsets Use-After-Free sérülékenysége
CVE-2025-21480 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »