趋势科技的研究人员发现了三种不同版本的新型Android恶意软件,称为GhostCtrl。此恶意软件能够帮助攻击者远程控制Android设备并窃取数据。它还使攻击者有能力录制音频/视频,并将其上传到恶意软件的C&C服务器。第二个版本的GhostCtrl Android恶意软件也可以作为勒索软件。
6月下旬,趋势科技安全研究人员找到一个名为RETADUP的信息窃取恶意软件。根据进一步的研究,发现RETADUP伴随着更加危险的恶意软件,而且面向所有Android设备。
这个Android恶意软件已被命名为GhostCtrl,因为它可以控制Android智能手机。这种恶意软件是基于流行的RAT(远程访问木马)OmniRAT,它具有远程控制运行Windows,Linux和macOS的机器的功能。
像许多其他Android恶意软件一样,GhostCtrl也隐藏、伪装之类的流行应用程序,如WhatsApp,MMS,Pokemon Go等。恶意软件的主APK具有后门功能,名为com.android.engine,以误导用户。
连接到控制和命令(C&C)服务器后,它获得本地解密的加密指令。要隐藏其流量,恶意软件连接到域,而不是直接与C&C服务器的IP地址通信。
用命令中包含的动作代码执行的一些操作:
控制WiFi
删除/重命名文件
将文件上传到C&C服务器
监控手机的传感器数据
删除浏览器历史记录,短信
发送短信/彩信到任何 码
打电话给任何 码
运行一个shell命令并上传结果
这不是全部。GhostCtrl Android恶意软件还可以从手机录制语音或音频,并将其上传到C&C服务器。被盗数据在执行上传之前被加密。
应该注意的是,GhostCtrl有三种不同的版本。第二个版本是一个更高级的版本,带有功能代码,用于在管理级别操作。
GhostCtrl Android恶意软件的第二个版本也可以作为移动勒索软件。它能够锁定设备屏幕,重置密码和执行roots。第三个版本具有更高级的隐藏其恶意进程的功能。它使GhostCtrl检测更具挑战性。
为了保持安全并减轻GhostCtrl Android恶意软件的威胁,建议用户更新设备,并应用最低权限的原则。建议定期进行备份,并使用加密和防火墙等技术。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!