安全公司趋势科技发布警告,他们发现了一个新的Android后门—GhostCtrl。GhostCtrl被发现有3个版本,第一代窃取信息并控制一些设备的功能,第二代增加了更多的功能来劫持设备,第三代结合了早期的版本特性,功能更加强大,黑客可以完全控制设备,并访问和传输本地存储的任何数据的权利。
GhostCtrl实际上是在2015年底被发现OmniRAT的一个变种。OmniRAT是一款非常流行的远程控制工具,它在暗网市场上的售价约为75美金。
GhostCtrl会将自己伪装成一个合法的热门应用(例如WhatsApp和Pokémon GO)来避免被目标用户发现。当App启动之后,它会对源文件中的一个字符串进行解码,然后得到一个恶意APK文件,随后便会要求用户进行安装。不过,即使用户点击了安装窗口中的取消按钮,该窗口仍然会立即再次弹出。完成了安装之后,APK将会启动一项服务,并让恶意软件的主程序在后台运行。该恶意软件的后门被命名为com.android.engine,目的是误导用户认为它是一个合法的系统应用。它将连接到C&C服务器并检索3176端口的指令。
攻击者可以通过发送远程命令来实时监控目标手机的传感器数据、下载图片并将其设为壁纸、上传某个文件至C&C服务器、给指定号码发送定制化的SMS/MMS消息、以及控制目标手机下载特定文件等等。除此之外,GhostCtrl还可以完成以下几种比较特别的任务:
- 控制系统的红外发射器;
- 悄悄录制视频或音频信息;
- 使用文本转语音功能;
- 重置某账号的密码,账号可由攻击者指定;
- 让目标手机播放不同的音效;
- 终止正在进行的通话;
- 利用目标设备的蓝牙连接至另外一台设备;
GhostCtrl可以窃取各种有价值的信息,例如:通话记录、手机短信、联系人、电话号码、照片、SIM序列号、定位数据、Android操作系统版本、用户名、Wi-Fi、电池信息、蓝牙、传感器数据、浏览器数据、手机运行的服务进程和壁纸等等。