這個世界上從來都不缺Android惡意軟件,但我們卻很少能夠遇到像GhostCtrl后門這種功能如此之多的Android安全威脅。
根據趨勢科技的研究人員透露的信息,這款惡意軟件已經更新到了第三代版本,并且最新版還添加了很多特殊的功能,比如說它不僅可以竊取任何種類的信息,而且還允許攻擊者完全接管目標設備。更重要的是,它還能夠做到其他各種非常有意思的事情。可以說是只有你想不到,沒有它做不到的。
下圖位GhostCtrl v3版本中 resources.arsc文件的分析截圖,這表明它是一個OmniRAT變種:
GhostCtrl后門的功能
GhostCtrl后門基于多平臺OmniRAT,它在暗網市場上的售價約為$25到$75。
它的C&C通信是經過加密的,它所接收到的控制命令中包含活動代碼以及DATA對象,這將允許攻擊者指定攻擊目標以及活動內容,所以對于網絡犯罪分子來說,GhostCtrl是一款非常靈活的高度定制化惡意軟件。
攻擊者可以通過發送遠程命令來實時監控目標手機的傳感器數據、下載圖片并將其設為壁紙、上傳某個文件至C&C服務器、給指定號碼發送定制化的SMS/MMS消息、以及控制目標手機下載特定文件等等。除此之外,GhostCtrl還可以完成以下幾種比較特別的任務:
1. 控制系統的紅外發射器;
2. 悄悄錄制視頻或音頻信息;
3. 使用文本轉語音功能;
4. 重置某賬號的密碼,賬號可由攻擊者指定;
5. 讓目標手機播放不同的音效;
6. 終止正在進行的通話;
7. 利用目標設備的藍牙連接至另外一臺設備;
GhostCtrl可以竊取各種有價值的信息,例如:通話記錄、手機短信、聯系人、電話號碼、照片、SIM序列號、定位數據、Android操作系統版本、用戶名、Wi-Fi、電池信息、藍牙、傳感器數據、瀏覽器數據、手機運行的服務進程和壁紙等等。
GhostCtrl如何隱藏自己?
GhostCtrl會將自己偽裝成一個合法的熱門應用(例如WhatsApp和Pokémon GO)來避免被目標用戶發現。
研究人員表示:”當App啟動之后,它會對源文件中的一個字符串進行Base64解碼,然后得到一個惡意APK文件,隨后便會要求用戶進行安裝。不過,即使用戶點擊了安裝窗口中的取消按鈕,該窗口仍然會立即再次彈出。完成了安裝之后,APK將會啟動一項服務,并讓惡意軟件的主程序在后臺運行。”
GhostCtrl不會在手機桌面上顯示圖標,而主要的后門功能APK包名為com.android.engine,一般用戶都會認為這是一個合法的系統應用,所以不會引起任何的懷疑。除此之外,最新版的GhostCtrl v3還使用了混淆技術來掩蓋其惡意活動。值得注意的是,GhostCtrl后門還可以配合Windows平臺下的信息竊取型蠕蟲RETADUP來實施攻擊。
隨著移動設備的普及范圍越來越廣,GhostCtrl的影響范圍肯定還會進一步擴大。
* 參考來源:helpnetsecurity, FB小編Alpha_h4ck編譯,轉載請注明來自FreeBuf.COM
京公網安備 11010502049343號