Nemmeno la pandemia mette a freno le mire dei criminali informatici, anzi, le circostanze critiche offrono loro nuovi modi per colpire. Gli hacker, specie nell’ultimo mese e mezzo, sono stati impegnati a cercare di sfruttare l’emergenza per i loro crimini. La diffusione su scala globale del COVID - 19 (anche noto come Sars – Cov – 2) ha portato a un aumento direttamente proporzionale delle e-mail di phishing e di diversi malware progettati per intrappolare le persone alla ricerca di informazioni sul virus, facendo leva sulla paura e l’insicurezza che serpeggiano fra la gente. Fra questi, in particolare il più temibile sembra essere un nuovo tipo di ransomware, noto come CovidLock, che crittografa i dati chiave sul dispositivo Android che colpisce e nega l’accesso alle vittime (a meno che non paghino un riscatto in criptovaluta).  

Dopo che i primi casi di coronavirus sono emersi in Cina, i ricercatori di DomainTools hanno scoperto un discreto aumento del numero di nomi di dominio registrati associati ai termini “Coronavirus” e “COVID – 19”. Il numero, in crescita esponenziale dall’inizio della pandemia, nasconde un elevato quantitativo di domini dannosi e siti truffa. Dopo un attento monitoraggio degli url sospetti, DomainTools ha dichiarato di aver trovato un sito che permette di scaricare un’app tracker della diffusione del coronavirus in tempo reale, disponibile sul Play Store dei dispositivi Android. 

Sebbene l’app affermi di offrire heatmap (mappe di densità) e altri dati statistici relativi al COVID-19, in realtà è un fornitore di ransomware. Durante l’installazione, l’app tenta di convincere l’utente a concedergli i permessi di amministratore, promettendo in cambio determinati tipi di informazioni. Tale accesso offre quindi l’opportunità al programma di bloccare tutti i contatti, le foto, i video e gli account dei social media, a meno che l’utente non accetti di pagare un riscatto in Bitcoin. Se il riscatto non viene pagato, l’hacker minaccia di rilasciare pubblicamente tutte le informazioni private e di cancellare la memoria del telefono. 

Lo schema nega all’utente l’accesso ai propri dati personali modificando la password o del PIN utilizzato per sbloccare il telefono. Conosciuto come lockscreen attack, questo metodo è stato riscontrato in altri ransomware diretti ad Android. La versione di Android 7.0 (Nougat) e le successive offrono alcune protezioni contro questo tipo di attacco. Tuttavia, queste funzionano solo se si è già impostato una password per bloccare e sbloccare il proprio dispositivo. In caso contrario, si è ancora esposti al ransomware CovidLock. Per proteggere adeguatamente il proprio dispositivo da questo ransomware che sfrutta il coronavirus, proponiamo i seguenti suggerimenti: 

• Assicurarsi di consultare solo fonti di informazioni attendibili dai siti Web delle istituzioni governative e di ricerca. Non fare clic su messaggi e-mail relativi alla salute se non si conosce il mittente. In generale, è sempre utile seguire tutte le raccomandazioni di base sul phishing. 
• Scaricare le applicazioni Android solo dal Google Play Store. Esiste un rischio molto più elevato di contrarre un malware da app provenienti da store di terze parti non attendibili. 

Tweet