安全路透社
当前位置:安全路透社 > 网络转载 > 正文

这款安卓后门GhostCtrl可能是“史上功能最多”的后门

这个世界上从来都不缺Android恶意软件,但我们却很少能够遇到像GhostCtrl后门这种功能如此之多的Android安全威胁。

a1.png

根据趋势科技的研究人员透露的信息,这款恶意软件已经更新到了第三代版本,并且最新版还添加了很多特殊的功能,比如说它不仅可以窃取任何种类的信息,而且还允许攻击者完全接管目标设备。更重要的是,它还能够做到其他各种非常有意思的事情。可以说是只有你想不到,没有它做不到的。

下图位GhostCtrl v3版本中 resources.arsc文件的分析截图,这表明它是一个OmniRAT变种:

a2.png

GhostCtrl后门的功能

GhostCtrl后门基于多平台OmniRAT,它在暗网市场上的售价约为$25到$75。

它的C&C通信是经过加密的,它所接收到的控制命令中包含活动代码以及DATA对象,这将允许攻击者指定攻击目标以及活动内容,所以对于网络犯罪分子来说,GhostCtrl是一款非常灵活的高度定制化恶意软件。

攻击者可以通过发送远程命令来实时监控目标手机的传感器数据、下载图片并将其设为壁纸、上传某个文件至C&C服务器、给指定号码发送定制化的SMS/MMS消息、以及控制目标手机下载特定文件等等。除此之外,GhostCtrl还可以完成以下几种比较特别的任务:

1.      控制系统的红外发射器;

2.      悄悄录制视频或音频信息;

3.      使用文本转语音功能;

4.      重置某账号的密码,账号可由攻击者指定;

5.      让目标手机播放不同的音效;

6.      终止正在进行的通话;

7.      利用目标设备的蓝牙连接至另外一台设备;

GhostCtrl可以窃取各种有价值的信息,例如:通话记录、手机短信、联系人、电话号码、照片、SIM序列号、定位数据、Android操作系统版本、用户名、Wi-Fi、电池信息、蓝牙、传感器数据、浏览器数据、手机运行的服务进程和壁纸等等。

GhostCtrl如何隐藏自己?

GhostCtrl会将自己伪装成一个合法的热门应用(例如WhatsApp和Pokémon GO)来避免被目标用户发现。

研究人员表示:”当App启动之后,它会对源文件中的一个字符串进行Base64解码,然后得到一个恶意APK文件,随后便会要求用户进行安装。不过,即使用户点击了安装窗口中的取消按钮,该窗口仍然会立即再次弹出。完成了安装之后,APK将会启动一项服务,并让恶意软件的主程序在后台运行。”

GhostCtrl不会在手机桌面上显示图标,而主要的后门功能APK包名为com.android.engine,一般用户都会认为这是一个合法的系统应用,所以不会引起任何的怀疑。除此之外,最新版的GhostCtrl v3还使用了混淆技术来掩盖其恶意活动。值得注意的是,GhostCtrl后门还可以配合Windows平台下的信息窃取型蠕虫RETADUP来实施攻击。

随着移动设备的普及范围越来越广,GhostCtrl的影响范围肯定还会进一步扩大。

* 参考来源:helpnetsecurity, FB小编Alpha_h4ck编译

未经允许不得转载:安全路透社 » 这款安卓后门GhostCtrl可能是“史上功能最多”的后门

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册