CovidLock zsarolóvírus


2020. március 19. 11:38

Felfedezés dátuma

2020.03.19.

Súlyosság

Közepes

Összefoglaló

A DomainTools biztonsági csapata a koronavírus fertőzés (COVID-19) kapcsán regisztrált domainek figyelése során fedezte fel a coronavirusapp[.]site weboldalt, amely egy Androidos applikáció letöltésére próbálja meg rávenni a felhasználókat, amely az ígéret szerint segítséget nyújt a vírus terjedésének nyomon követéséhez az Egyesült Államokban, azonban valójában egy ransomware-t tartalmaz (CovidLock).

Leírás

A DomainTools biztonsági csapata a koronavírus fertőzés (COVID-19) kapcsán regisztrált domainek figyelése során fedezte fel a coronavirusapp[.]site weboldalt, amely egy Androidos applikáció letöltésére próbálja meg rávenni a felhasználókat.

A cég vizsgálata szerint a CovidLock ransomware alapvető funkciója, hogy a telefon képernyőjét zárolja. Természetesen az eszköz újraindítása ilyen esetben nem nyújt megoldást.

A káros kód képes ellenőrizni a felhasználó jogosultsági szintjét. A CovidLock-nak a működéshez szüksége van adminisztrátori jogosultságra (BIND_DEVICE_ADMIN). Amennyiben a felhasználó ezt engedélyezi, a CovidLock közel teljes hozzáférést szerez az eszközhöz.

Az engedélyt a felhasználó megtévesztésével szerzik meg, a képernyőn látszólag az „online COVID statisztikák engedélyezése” illetve az „ismert COVID fertőzöttek lokációjának ismerete” engedélykérések jelennek meg.

A ransomware egy bit[.]ly URL-el kommunikál, amely egy pastebin oldalra mutat (hXXps://pastebin[.]com/zg6rz6qT). Itt tárolódnak a ransomnote üzenetek és a Bitcoin tárca címek. A ransomnote 2 napos határidőt ad a 100 USD váltságdíj megfizetésére. A fizetés megtagadása esetén a telefon adattartalma törlésre kerül.

Egyes biztonsági szakértők szerint az Android Nougat operációs rendszer védett az ilyen típusú támadásokkal szemben.

Megoldás

A DomainTools képes volt visszafejteni a CovidLock által használt titkosító kulcsot, ezzel meghatározva a statikus dekriptáló kulcsot, amely a következő 4865083501.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)

Hivatkozások

Egyéb referencia: www.domaintools.com
Egyéb referencia: www.techrepublic.com
Egyéb referencia: www.businessinsider.com
Egyéb referencia: www.androidauthority.com

Indikátorok

Indikátorok (IoC):

coronavirusapp[.]site
dating4sex[.]us
dating4free[.]us
perfectdating[.]us
redditdating[.]us
pastebin[.]com/zg6rz6qT
pastebin[.]com/GK8qrfaC
APK MD5: 69a6b43b5f63030938c578eec05993eb
APK SHA256: c844992d3f4eecb5369533ff96d7de6a05b19fe5f5809ceb1546a3f801654890
phc859mgge638@inbox.ru

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-22224 – VMware ESXi és Workstation sérülékenysége
CVE-2025-22225 – VMware ESXi sérülékenysége
CVE-2025-22226 – VMware ESXi, Workstation és Fusion sérülékenysége
CVE-2022-43939 – Hitachi Vantara Pentaho BA Server Authorization Bypass sebezhetősége
CVE-2022-43769 – Hitachi Vantara Pentaho BA Server Special Element Injection sebezhetősége
CVE-2024-4885 – Progress WhatsUp Gold Path Traversal sebezhetősége
CVE-2018-8639 – Microsoft Windows Win32k Improper Resource Shutdown or Release sebezhetősége
CVE-2023-20025 – Cisco Small Business Routers sebezhetősége
CVE-2023-20118 – Cisco Small Business RV Series Routers Command Injection sebezhetősége
Tovább a sérülékenységekhez »