L'ANALISI TECNICA

CovidLock, il ransomware per Android che sfrutta il coronavirus per diffondersi: tutti i dettagli

Si chiama CovidLock il ransomware nascosto in un’app Android che, dietro la promessa di fornire notizie in tempo reale sulla diffusione del coronavirus, blocca lo smartphone della vittima e richiede il pagamento di un riscatto minacciando di cancellare l’intera memoria del dispositivo. Ecco tutti i dettagli

16 Mar 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Non è purtroppo una novità che il tema coronavirus venga utilizzato dai criminal hacker per diffondere malware di ogni genere o rubare informazioni personali di utenti inconsapevoli e incauti: l’ultima minaccia si chiama CovidLock ed è un ransomware che prende di mira gli smartphone Android e minaccia di cancellare tutta la memoria del dispositivo dopo averne bloccato l’accesso.

CovidLock: il sito malevolo usato per la diffusione

A scoprire il ransomware CovidLock è stato il team di ricercatori di sicurezza di DomainTools che ha identificato un dominio coronavirusapp[.]site che sostiene di fornire un tracker dei focolai di coronavirus disponibile tramite il download di un’applicazione.

Il dominio malevolo che distribuisce l’app dentro la quale si nasconde il ransomware Covid.Lock.

Come si può osservare nella soprastante figura, il dominio richiede agli utenti Android di scaricare un’app per ottenere, in tempo reale, sulla base della propria posizione GPS, report aggiornati corredati con il numero di casi di coronavirus nella zona del malcapitato utente.

In realtà, l’app installa il ransomware CovidLock che utilizza una tecnica malevola già nota come attacco “screen-lock” visto in altre tipologie di ransomware per Android, che nega alla vittima l’accesso al proprio telefono forzando la modifica della password utilizzata per sbloccare il telefono.

La nota del riscatto

Subito dopo aver bloccato l’accesso al telefono, CovidLock mostra la classica nota di riscatto richiedendo alla vittima il pagamento di 100 dollari in Bitcoin entro 48 ore, minacciandolo altrimenti di cancellare contatti, foto, video e l’intera memoria del telefono, nonché di pubblicare eventuali contenuti riservati sui social media.

WEBINAR
Sicurezza: IT e OT insieme per proteggere l'azienda dagli attacchi cyber
Sicurezza
Sicurezza dei dati

Come se on bastasse, il ransomware CovidLock minaccia pure la vittima “consigliandole” di non intraprendere azioni inappropriate in quanto i criminal hacker conoscono la sua posizione GPS e sarebbero quindi in grado di rintracciarlo in ogni momento.

Il team di ricerca, nelle more di pubblicare quanto prima le chiavi di decrittazione (sta anche monitorando le transazioni del portafoglio BTC), consiglia come protezione preventiva, contro questa vulnerabilità, quella di impostare anzitempo una password per il blocco dello schermo.

Anteprima della nota di riscatto di CovidLock.

Difendersi dal ransomware CovidLock

Per contrastare questa nuova strategia di attacchi informatici a tema coronavirus in tutte le sue molteplici declinazioni allestite ad arte da scellerati criminal hacker, occorre, anche nel nostro mondo virtuale, prestare sempre la massima attenzione nell’utilizzo dei nostri dispositivi e delle numerose risorse a tema disponibili online.

È inoltre utile adottare alcune semplici regole di condotta:

  • utilizzare solo fonti di informazione affidabili provenienti da siti web governativi e istituti di ricerca;
  • seguire tutte le raccomandazioni di contrasto sul phishing (gli sciacalli informatici stanno cercando di capitalizzare la paura);
  • scaricare le app Android solo da Google Play Store e solo se certificate: il rischio di scaricare malware da market di terze parti e non affidabili risulta molto più alto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5