Android後門GhostCtrl,可控制設備任意權限並竊取數據

安全公司趨勢科技發佈警告,他們發現了一個新的Android後門—GhostCtrlGhostCtrl被發現有3個版本,第一代竊取信息並控制一些設備的功能,第二代增加了更多的功能來劫持設備,第三代結合了早期的版本特性,功能更加強大,黑客可以完全控制設備,並訪問和傳輸本地存儲的任何數據的權利。

GhostCtrl實際上是在2015年底被發現OmniRAT的一個變種。OmniRAT是一款非常流行的遠程控制工具,它在暗網市場上的售價約為75美金。

GhostCtrl會將自己偽裝成一個合法的熱門應用(例如WhatsAppPokémon GO)來避免被目標用戶發現。當App啓動之後,它會對源文件中的一個字符串進行解碼,然後得到一個惡意APK文件,隨後便會要求用戶進行安裝。不過,即使用戶點擊了安裝窗口中的取消按鈕,該窗口仍然會立即再次彈出。完成了安裝之後,APK將會啓動一項服務,並讓惡意軟件的主程序在後台運行。該惡意軟件的後門被命名為com.android.engine,目的是誤導用戶認為它是一個合法的系統應用。它將連接到C&C服務器並檢索3176端口的指令。

攻擊者可以通過發送遠程命令來實時監控目標手機的傳感器數據、下載圖片並將其設為壁紙、上傳某個文件至C&C服務器、給指定號碼發送定制化的SMS/MMS消息、以及控制目標手機下載特定文件等等。除此之外,GhostCtrl還可以完成以下幾種比較特別的任務:

  1.  控制系統的紅外發射器;
  2.  悄悄錄制視頻或音頻信息;
  3. 使用文本轉語音功能;
  4. 重置某賬號的密碼,賬號可由攻擊者指定;
  5. 讓目標手機播放不同的音效;
  6. 終止正在進行的通話;
  7. 利用目標設備的藍牙連接至另外一台設備;

GhostCtrl可以竊取各種有價值的信息,例如:通話記錄、手機短信、聯繫人、電話號碼、照片、SIM序列號、定位數據、Android操作系統版本、用戶名、Wi-Fi、電池信息、藍牙、傳感器數據、瀏覽器數據、手機運行的服務進程和壁紙等等。

广告

You May Also Like