Cyberthreat.id – Peneliti keamanan siber ESET pekan ini mendeteksi sebuah ransomware baru berkedok aplikasi pelacakan Covid-19 yang baru saja dirilis oleh Health Canada: Covid Alert.

Aplikasi itu belum tersedia ke publik hingga awal Juli, tapi peretas memanfaatkan celah itu. Mereka membuat aplikasi Android jahat dengan mencatut nama resmi aplikasi buatan pemerintah Kanada.

Menurut ESET, seperti dikutip dari ZDNet, Rabu (24 Juni 2020), ada dua situs web yang menawarkan aplikasi Covid Alert, yaitu tracershield.ca dan covid19tracer.ca—keduanya kini tidak aktif lagi.

Ketika pengunjung mengunduh aplikasi yang ada di situs web itu, perangkat justru menginstal ransomware bernama “CryCryptor”.

Seperti ransomware lainnya, CryCryptor mengenkripsi berkas (file) yang ditargetkan. Alih-alih hanya mengunci perangkat, ransomware meninggalkan berkas “readme” dengan email penyerang di setiap direktori.

Ketika seseorang mengunduh aplikasi jahat tersebut dan membukanya, aplikasi akan meminta akses ke berkas perangkat. Ketika diberikan akses, kemudian penyerang menyalahgunakan hak itu untuk mengenkripsi file dengan menggunakan AES dengan kunci 16-karakter yang dihasilkan secara acak, tulis ThreatPost.

Berkas yang terenkripsi memiliki ekstensi file .enc yang ditambahkan oleh penyerang; di mana algoritma enkripsi menghasilkan salt unik untuk setiap file terenkripsi, lalu disimpan dengan ekstensi .enc.salt.

Seperti kebiasaan aktor ransomware, mereka tak lupa menyelipkan berkas teks uang tebusan di setiap direktori tempat berkas terenkripsi.

File yang ditargetkan penyerang ini termasuk foto dan video, yang mana dapat dimanfaatkan untuk meningkatkan keinginan korban untuk membayar tebusan.

Menanggapi temuan itu, peneliti keamanan siber di KnowBe4, Erich Kron, mengatakan, ransomware itu termasuk unik, selain mengenkripsi berkas dokumen (.doc), berkas berekstensi .jpg, .png, dan .avi.

“Dengan mengenkripsi foto dan video pada penyimpanan eksternal di ponsel, penyerang tampaknya berusaha mencari peluang agar uang tebusan dibayar. Ini lantaran orang-orang cenderung menyimpan banyak foto pribadi di perangkat mereka,” kata dia.

Untungnya, lantaran ada cacat (bug) dalam pengkodean aplikasi jahat itu, peneliti ESET dapat membuat alat pembuka enkripsi (decryptor). Bug itu dari jenis “Improper Export of Android Components” yang dilabeli oleh MITRE sebagai CWE-926. Decryptor kini telah tersedia di GitHub.[]

Redaktur: Andi Nugroho