Cuando emergen noticias de relevancia internacional, los cibercriminales suelen tratar de sacarles provecho para engañar a las personas preocupadas sobre un tema en particular, y la reciente emergencia mundial por el coronavirus no es la excepción. DomainTools, una firma de ingeniería inversa de software ha publicado un informe detallando cómo ha incrementado el registro de dominios web maliciosos y fraudulentos con nombres relacionados con palabras como “coronavirus” y “COVID-19”.
El brote del virus ha generado millones de búsquedas en Internet diarias, por lo que los actores de amenazas tratan de redirigir algunas de esas búsquedas a páginas fraudulentas. A través de un monitoreo constante de estos dominios, la firma de ingeniería inversa de software descubrió uno en particular; identificado como <<coronavirusapp(.)com>>, este sitio web afirma publicar un rastreador de brotes e infecciones en tiempo real disponible mediante la descarga de una aplicación.
Los desafortunados visitantes de este sitio son incitados a descargar una aplicación para dispositivos Android con la que podrán acceder a un mapa mundial con indicadores sobre el COVID-19 actualizado en tiempo real, incluyendo gráficos y mapas de calor sobre los puntos geográficos con mayor presencia del coronavirus.
Lo que las víctimas de esta estafa descargan en realidad es una variante de ransomware para dispositivos móviles. Los investigadores han bautizado a este malware como “CovidLock”, debido a sus características y al hecho de aprovecharse del brote mundial de COVID-19.
Acorde a la firma de ingeniería inversa de software, después de ser instalada en el dispositivo de la víctima, CovidLock consigue forzar un cambio en la contraseña empleada para desbloquear el dispositivo; métodos de infección similares reportados anteriormente han sido identificados como ataques de bloqueo de pantalla, afectando principalmente a usuarios de Android.
Después del reinicio de contraseña, se muestra a la víctima la nota de rescate, en la que los hackers exigen un pago de 100 dólares en Bitcoin, además de fijar un plazo de 48 horas para completar el pago. En caso contrario, los atacantes amenazan con eliminar toda la información del dispositivo infectado, además de publicar información privada de las víctimas.
Los investigadores han notificado a Android e incluso comenzaron a monitorear la actividad de la dirección de criptomoneda empleada por los hackers, por lo que más detalles podrían revelarse en breve.
El Instituto Internacional de Seguridad Cibernética (IICS) recomienda no instalar aplicaciones de fuentes desconocidas, pues este es el principal vector de ataque contra dispositivos móviles. Además, para los usuarios preocupados sobre el brote de coronavirus, siempre es mejor esperar actualizaciones oficiales de las autoridades de salud.