COVID-19 Lockdown

CovidLock — это программа-вымогатель для операционной системы Android, написанная на языке программирования Java, которая использовалась в кампании по распространению вредоносного ПО в разгар пандемии COVID-19. Она маскировалась под инструмент отслеживания коронавируса, запрашивая права суперпользователя и разрешения на доступность, которые затем использовались для блокировки доступа пользователя к своему телефону. Это одно из многих приложений, которые использовали тему COVID-19 для распространения с помощью методов социальной инженерии.

Принцип работы[править | править код]

Вредоносное ПО распространялось через файл в формате APK на веб-сайте, созданном в марте 2020 года, который якобы отслеживал случаи заражения коронавирусом. Установка могла быть выполнена только через сторонние источники, так как приложение отсутствовало в Google Play. При запуске приложение запрашивало права администратора и разрешения на доступность, а также обеспечивало постоянство через событие Booting_COMPLETED, что позволяло ему запускаться после каждой перезагрузки устройства. После того как пользователь предоставлял необходимые разрешения и нажимал кнопку "Сканировать территорию на наличие коронавируса", приложение переключало экран на сообщение с требованием выкупа, предлагая пользователю заплатить 100 долларов США на указанный биткоин-адрес. При этом угрожали раскрыть все фото и видео, сделанные пользователем, всем контактам в его списке, а также удалить все контакты, видео, изображения, сообщения и другую личную информацию на устройстве в течение 48 часов. Биткоин-адрес для перевода средств не был жестко прописан в коде приложения, а отображался в анонимной публикации на Pastebin.com, на которую пользователь перенаправлялся через ссылку Bitly. Однако фактический ключ дешифрования, необходимый для разблокировки, был жестко задан в коде приложения как "4865083501", и при его вводе пользователю сообщалось, что телефон теперь расшифрован.

В другой версии записки с требованием выкупа на Pastebin сумма увеличивалась до 250 долларов США.

Реакции[править | править код]

Агентство по кибербезопасности и защите инфраструктуры США выпустило предупреждение о приложении CovidLock и других, которые эксплуатируют страх перед коронавирусом.

Ссылки[править | править код]

• https://pmc.ncbi.nlm.nih.gov/articles/PMC8196937/
• https://www.cnet.com/tech/services-and-software/coronavirus-scams-how-to-protect-yourself-from-identity-theft-during-covid-19/
• https://link.springer.com/chapter/10.1007/978-3-030-69984-0_3
• https://cyberscoop.com/coronavirus-app-locked-phones/
• https://www.zscaler.com/blogs/security-research/covidlock-android-ransomware-walkthrough-and-unlocking-routine
• https://www.deccanherald.com/specials/ransomware-alert-hackers-using-fake-coronavirus-tracker-app-to-lock-android-phones-814608.html
• https://www.businessinsider.com/coronavirus-fake-app-ransomware-malware-bitcoin-android-demands-ransom-domaintools-2020-3
• https://www.ingentaconnect.com/contentone/hsp/jcs/2021/00000005/00000001/art00004
• https://www.scworld.com/news/password-found-to-rescue-victims-of-malicious-covid-19-tracker-app
• https://www.domaintools.com/resources/blog/covidlock-update-coronavirus-ransomware/
• http://web.archive.org/web/20250810185601/https://www.domaintools.com/resources/blog/covidlock-update-coronavirus-ransomware/
• https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-099a