安卓 Backdoor Ghostctrl可以做很多不寻常的事情

安卓恶意软件没有短缺,但它’不是常常遇到一个可以尽可能多地遇到的Android威胁。

根据趋势科技研究人员,威胁通过三次迭代循环,最新的尤其有能力,因为它可以窃取各种信息,是“令人难以忘怀,”并且可以完全控制设备并使其进行各种各样的东西。

ghostctrl

Ghostctrl版本3的资源的快照.arsc文件,指示它是一个omnirat变体

Ghostctrl Backdoor.’s capabilities

Ghostctrl Backdoor基于多平台 omn​​irat.,在25美元至75美元之间的任何地方销售在暗网球市场上。

It’s C&C通信是加密的,并且它接收的命令包含操作代码和对象数据,根据研究人员,“使攻击者能够指定目标和内容,使这是网络犯罪分子的非常灵活的恶意软件。”

可以指示恶意软件实时进行监控手机传感器的数据,将图片下载为壁纸,将所需文件上传到C&C服务器,将自定义的SMS / MMS发送到攻击者指定的号码,以及下载文件,但也更不寻常的事物:

  • 控制系统红外发射器
  • 偷偷摸摸地记录语音或音频
  • 使用文本到语音功能(即将文本转换为语音/音频)
  • 清除/重置攻击者指定的帐户的密码
  • 使手机发挥不同的音效
  • 终止正在进行的电话
  • 使用蓝牙搜索并连接到另一个设备。

它可以窃取一个有价值信息的Smorgasbord:呼叫日志,短信记录,联系人,电话号码,SIM序列号,位置,Android OS版本,用户名,Wi-Fi,电池,蓝牙和音频状态,UIMode,传感器,数据相机,浏览器和搜索,服务进程,活动信息和壁纸。

躲在受害者身上

恶意软件通常是伪装成合法的流行应用程序(例如,Whatsapp,神奇宝贝等)。

“启动应用程序时,它基于资源文件中的字符串,并将其写入,实际上是恶意Android应用程序包(APK)。恶意APK在Wrapper APK动态单击后,将要求用户安装它。避免它非常棘手:即使用户取消了‘ask for install page’提示,消息仍将立即弹出,”研究人员共享。

“一旦安装,包装器APK将推出一个服务,该服务将让主要的恶意APK在后台运行。”

恶意软件通过没有图标来隐藏用户,主APK通常命名为后门函数 com.android.engine. 误导用户认为这是一个合法的系统应用程序。恶意软件的攻击链’第三个(并且最有能力的)版本包含了隐藏其恶意程序的混淆技术。

根据研究人员的说法,Ghostctrl Backdoor与 信息窃取复苏蠕虫,目标是Windows机器。

“Ghostctrl与信息窃取蠕虫的结合,而有效,也在讲述。攻击者试图覆盖他们的基础,并确保他们不只是感染终点。随着公司和日常最终用户之间的移动设备的无处不在,Ghostctrl的能力确实可以提供恐惧,” the researchers 总结.

分享这个