Cosa sapere su CovidLock, il malware che si finge un’app per tracciare il coronavirus

Gli sviluppatori di malware sono forse (tra gli attori che operano nel mondo digitale) i più reattivi a cogliere le nuove mode, e ad applicarle a proprio vantaggio. Nel caso del coronavirus, parlare di velocità d’esecuzione è forse fuori luogo, visto che la malattia si è già propagata nel mondo da diverse settimane; solo recentemente tuttavia l’emergenza sanitaria ha raggiunto anche gli Stati Uniti, fino a pochi giorni fa estranei alle misure di contenimento che invece hanno coinvolto numerosi Paesi europei – Italia in particolare.

Partendo da questo punto di vista, si può dunque ammettere che il rilascio del malware CovidLocker sia stato assolutamente tempestivo da parte dei suoi sviluppatori: il coronavirus (altresì conosciuto con la sigla COVID-19, da cui il nome del malware) non è una banale tendenza di mercato, ma una vera preoccupazione che può spingere le persone a mettere da parte le normali precauzioni da adottare quando si naviga online per ricorrere a soluzioni che solo apparentemente possono aiutare a risolvere le proprie ansie personali.

Il caso del coronavirus è poi particolarmente complesso: Google, Apple e Amazon hanno limitato alle sole app ufficiali delle organizzazioni nazionali e internazionali impegnate nella lotta al coronavirus l’ingresso nei rispettivi store di app; questo ha in parte evitato a malware come CovidLock di trarre in inganno gli ignari utenti del Play Store o dell’Amazon App Store, ma ha anche spinto sviluppatori di terze parti in grado di programmare app effettivamente utili per il tracciamento della diffusione della malattia nel mondo a pubblicarle in siti o store alternativi.

Si tratta della minaccia posta da CovidLock: rilasciato all’interno di un sito web che, seppur in maniera piuttosto maldestra, cerca di indurre il visitatore a pensare che la propria app non soltanto sia affidabile, ma anche utile e che sia stata sviluppata in collaborazione con la World Health Organization. Ma in quale modo il malware si infiltra all’interno del telefono?

CovidLock è un ransomware: il suo obbiettivo dunque consiste nell’installazione all’interno di un dispositivo privo delle difese adeguate, così da bloccarne il proprietario al di fuori. Il malware può adottare diverse pratiche d’attacco per impedire al proprietario dello smartphone di tornare in possesso del proprio device: nel caso di CovidLock, il virus si limita ad utilizzare le risorse a disposizione di ogni telefono cellulare.

CovidLock è risultato rintracciabile principalmente all’interno del sito web coronavirus[.]site: secondo i ricercatori di Domain Tools che per primi ne hanno rilevato la presenza, il ransomware si presenta come un’app, affidabile e completa, utile ai fini del tracciamento dei trend di diffusione del coronavirus nel mondo. Non solo: CovidLock disporrebbe di mappe e statistiche aggiornate in tempo reale e cerca di guadagnarsi una buona reputazione agli occhi dei visitatori mostrando all’interno della sua pagina di presentazione i loghi delle Nazioni Unite e della World Health Organization – qualora tutto ciò fosse vero, si tratterebbe di un’app senza dubbio da scaricare.

Sfortunatamente non è così: una volta installato, CovidLock provvede a sostituire il metodo di blocco dello smartphone con un codice proprietario, che l’utente dovrà indovinare – altrimenti, viene proposto il pagamento di un riscatto di 100$ in Bitcoin. Grazie però alle misure di sicurezza adottate da Android a partire dalla versione Nougat, il blocco dello schermo viene applicato solamente nel caso in cui la vittima non abbia mai implementato un lockscreen di qualsiasi tipo – password, pin, scorrimento o impronta biometrica. In caso contrario, il tentativo va a vuoto. All’interno della schermata di blocco visualizzata dal malware si sostiene anche che il GPS sia “monitorato” così da spingere la vittima in un senso d’ansia e spingerlo al pagamento del riscatto – tuttavia, non è assolutamente provato che la posizione dei device infetti sia effettivamente registrata e controllata da remoto.

L’entità piuttosto modesta del riscatto, così come le strategie d’attacco del malware, lasciano intendere che o il virus sia stato sviluppato in maniera piuttosto frettolosa, oppure i suoi programmatori non siano particolarmente esperti. Stando all’analisi del certificato SSL del sito web dove il virus viene ospitato, così come allo studio del codice del malware, gli autori di CovidLock corrisponderebbero ai medesimi autori di alcuni malware di natura pornografica diffusi qualche tempo fa sul web.

CovidLock è un malware minaccioso sulla carta, ma molto meno nei fatti – secondo i ricercatori, nessun utente sembra ancora aver pagato il riscatto richiesto dai suoi programmatori, perlomeno stando all’analisi delle transazioni relative al portafogli per valute digitali al quale teoricamente il maltolto dovrebbe essere versato.

Ciò comunque non significa che nessuno sia mai stato contagiato da CovidLock, o lo sarà in futuro: per quanto l’assenza di un lockscreen sia una conditio sine qua non per il malware, il blocco dello schermo è una precauzione che non tutti gli utenti Android sono soliti adottare. Vi sarà utile allora sapere che il codice di sblocco richiesto dal malware (4865083501) è stato scoperto da alcuni volenterosi sviluppatori sul social network Reddit, la cui conversazione completa è recuperabile QUI.

Quale forma addizionale di protezione, vi suggeriamo vivamente di non scaricare alcuna applicazione, riguardante il nuovo coronavirus ma non solo, da risorse esterne al Play Store e di implementare immediatamente una qualsiasi forma di blocco dello schermo; un lockscreen non è solamente una forma di protezione dai virus del web, ma anche da curiosi e malviventi.