GhostCtrl后门是一款基于OmniRAT的安卓恶意软件,可监控受害者、窃取数据并通过RETADUP信息窃取器控制Windows系统。
如今的智能手机跟几年前的计算机一样强大。但不幸的是,这也意味着安卓手机上的恶意软件实例跟台式电脑和笔记本电脑上的恶意软件实例一样多。2016年,卡巴斯基发现近4000万次由恶意移动软件引发的攻击。由于智能手机基本上就是口袋里的计算机,因此恶意人员能够使用很多类似技术甚至是相同的工具!在2015年默念,来自Avast的研究人员发现恶意人员使用OmniRat远程管理工具攻陷安卓手机。OmniRAT本身并非恶意,它是一款有用的工具,能让IT人员为安卓用户提供远程支持,甚至让他们远程访问Windows、Linux和Mac系统。但同时也是恶意人员访问系统的好工具。
几个月之前悄无声息后,OmniRAT变体又出现的并且跟上次相比做出了一些重大更新。趋势科技的研究人员将这个变体称为GhostCtrl,它能做一些“传统”移动恶意软件做的事情如将文件上传并下载到恶意人员的服务器中;将短信发送给具体的号码(通常需要缴纳额外费用)并提供实时传感信息。另外也能做一些它们办不到的事情,如控制系统红外发射机;偷偷记录声音、音频或视频;使用文字转换为语音的功能(即将文本转换为语音/音频);清除/重置攻击者指定的账户的密码;让手机播放不同的声音效果、终止正在拨打的电话、使用蓝牙搜索并联系另外一台设备。
GhostCtrl并不局限于安卓设备。攻陷智能手机会授予受害者访问一台强大的计算机,但多数恶意人员追逐的是信息。GhostCtrl携带RETADUP蠕虫,后者会从以色列医院中的Windows系统中窃取信息。
感染过程
GhostCtrl对应的安卓应用程序APK会伪装成一款合法的安卓app如WhatsApp、MMS等吸引用户。当启用这个APK时,它会从资源文件中解密文本,将这个字符串写为另外一个APK,然后启用恶意APK提示用户安装。之后它不会显示任何图标,而是在后台静默运行,联系互联网上的命令和控制服务器来判断下一步动作。根据受感染的目标和恶意人员的动机,GhostCtrl恶意软件可被用于多种恶意活动中。如果受感染手机仅被受害者在家使用,那么可能会出现勒索软件的行为。然而,由于GhostCtrl跟RETADUP相关联,那么恶意人员就会感染企业网络牟取更多利益。
目前已出现三个版本的GhostCtrlRAT,每个版本都在之前的版本基础上增加了功能和能力。未来它可能会得到加强,从而为攻击者牟利。虽然谷歌应用商店仅短期托管过这款恶意软件,但从官方应用商店下载的一个APK可能不是GhostCtrl。如果你是从其它地方获取的APK,那么就要准备到承担最坏的结果。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
