第三代GhostCtrl安卓病毒预警

亚信安全截获第三代GhostCtrl安卓手机病毒，该病毒与先前攻击以色列医院的 RETADUP 病毒有关。与其它Android 手机病毒相比较，GhostCtrl 窃取的信息更为广泛，功能更强大。GhostCtrl能在使用者不知情的情况下，窃听通话内容并且上传至服务器。另外，GhostCtrl能取得手机的控制权，甚至能重新设置屏幕解锁密码，并下载更多恶意软件，导致用户无法使用手机。从该病毒的技巧演进来看，其发展会越来越迅猛。亚信安全将其命名为ANDROIDOS_GHOSTCTRL.OPS / A

NDROIDOS_GHOSTCTRL.OPSA。

第一代GhostCtrl主要功能是盗取信息和控制被感染设备的某些功能；第二代则增加了对设备的劫持功能；第三代结合了早期的版本特性，功能更加强大，黑客可以完全控制被感染设备。

第三代GhostCtrl技术细节分析

什么是GhostCtrl？

GhostCtrl实际上2015年11月份发现的跨平台OmniRAT软件变种（参看下图），其可以通过安卓设备上的按钮来远程控制windows系统，linux系统和Mac系统，或是反过来从计算机端控制安卓设备。OmniRAT软件的终身授权版本价格大约在25 美元到75美元之间。我们追踪发现，各大地下论坛都在讨论OmniRAT的破解方法，甚至还制作了破解补丁程序。

图一：第三代GhostCtrl的资源文件resources.arsc中可以看出其是OmniRAT变种

GhostCtrl传播方式：

GhostCtrl 会伪装成《WhatsApp》、《Pokemon GO》等知名APP，当App启动之后，其会对资源进行解码得到一个恶意APK文件，随后便会要求用户进行安装，即使用户点击取消安装提示，提示安装信息仍然会不停弹出。该恶意APK没有图标，一旦安装，恶意程序会启动服务并在后台运行。

图二：Wrapper APK在资源中解码得到恶意的APK

GhostCtrl功能分析：

GhostCtrl具有后门功能，通常安装程序被命名为com.android.engine，目的是误导用户相信其是一个合法的系统应用程序。该恶意APK通过new Socket(“hef–klife.ddns.net”, 3176)的方式建立与C&C服务器的连接，并接收指令。接收到的C&C服务器的指令是加密的，恶意APK接收后在本地解密。

我们也发现，该后门会连接域名而不是直接连接C&C服务的IP地址，目的是为了隐藏通信。其多个域名指向同一个C&C IP地址。

? hef–klife[.]ddns[.]net

? f–klife[.]ddns[.]net

? php[.]no-ip[.]biz

? ayalove[.]no-ip[.]biz

值得注意的是，指令中包含动作代码和数据对象，也就是说攻击者设定了具体的攻击目标和攻击内容。这些指令允许攻击者在用户不知情的情况下，控制设备的某些功能。如下列出了一些动作代码和具体的控制功能：

? ACTION CODE =10, 11: 控制Wi-Fi 状态；

? ACTION CODE= 34: 实时监控手机传感器数据；

? ACTION CODE= 37: 设置手机使用模式，如：夜间模式/ 车用模式；

? ACTION CODE= 41: 控制手机的震动方式；

? ACTION CODE= 46: 下载图片并设置为壁纸；

? ACTION CODE= 48: 列出当前目录信息并上传到C&C服务器；

? ACTION CODE= 49: 删除指定目录中的文件；

? ACTION CODE= 50: 重新命名指定目录中的文件；

? ACTION CODE= 51: 上传需要的文件到C&C服务器；

? ACTION CODE= 52: 建立一个指定目录；

? ACTION CODE= 60: 使用文本转语音功能；

?ACTION CODE= 62: 发送短信息到攻击者的特定 码，内容可定制化；

? ACTION CODE= 68: 删除浏览器历史记录；

? ACTION CODE= 70: 删除短消息；

? ACTION CODE= 74: 下载文件；

? ACTION CODE= 75: 拨打攻击者指定的电话 码；

? ACTION CODE= 77: 打开活动视图相关APP，攻击者指定统一资源识别码（URI），如：打开浏览器，地图，拨 器等

? ACTION CODE= 78: 控制系统红外线发射器；

? ACTION CODE= 79: 运行攻击者指定的命令，并上传输出结果；

还有一个独特的C&C整数指令，用于窃取用户设备上的数据。其会收集并上传不同种类的对于犯罪分子有利用价值的敏感数据，其中包括：通话记录、短信记录、联系人、电话 码、SIM卡串 、地理位置以及浏览器书签。

相对于其它安卓信息窃取病毒，GhostCtrl窃取的信息更为广泛，除了上述提及的信息类型外，其还会窃取安卓系统版本、用户名、Wi-Fi、电池、蓝牙、音频状态、界面模式、传感器、相机拍摄内容、浏览器、搜索历史记录、服务进程、活动信息以及墙纸信息。

GhostCtrl不仅会拦截来自攻击者指定的电话 码的短消息，其还可以偷偷录音（对话或者语音）并在特定的时间上传到C&C服务器。所有窃取到的内容加密后上传C&C服务器。

图三：从代码中可以看出一些数据上传后会被删除

图四：盗窃信息相关的代码都在「transfer」中

还有一些C&C命令是自定义的，如：“account”, “audioManager”, 和“clipboard”，这些命令将会触发下列恶意行为。值得注意的是，这些并非是Android RAT 攻击常见的功能：

?清除/重置攻击者指定账 的密码；

?让手机播放各种不同音效；

?设定剪贴板的内容；

?自定义通知和快捷连接，包括样式和内容；

?控制蓝牙去搜索和连接其它设备；

?终止进行中的通话；

GhostCtrl各版本之间有何不同？

第一代GhostCtrl建立了获取管理员权限的框架，但是其没有实现该功能的代码；第二代已经加入获取管理员权限功能的代码；第三代加入了劫持手机功能代码，黑客可以完全控制被感染设备。

图五：第一代GhostCtrl取得管理员权限的程序框架

图六：第一代与第二代GhostCtrl功能比较

图七：第二代GhostCtrl应用设备管理员特权代码截图

第二代GhostCtrl具有勒索功能，其可以锁定设备显示屏并且重置密码，其也可以root被感染设备，劫持相机功能，建立拍照或者录视频的计划任务，其会将搜集到的信息采用MP4文件格式上传到C&C服务器。

图八：Ghostctrl勒索功能代码截图

图九：Ghostctrl root被感染设备截图

第三代GhostCtrl加入了混肴技术来隐藏其恶意行为，如下图所示：

图十：第三代Ghostctrl攻击流程图

在第三代GhostCtrl中，外层APK首先生成一个恶意的APK包，该APK包解开后包含DEX文件和ELF文件。运行时，DEX和ELF文件解开恶意APK的字符串和API调用。实际上恶意APK包和DEX，ELF文件隐藏在外层APK的assets目录中。其冗长的攻击流程使得检测更加困难。

解决方案：

GhostCtrl与信息窃取蠕虫完美结合，使其变得既强大又有效。攻击者希望面面俱到，不仅单纯的感染终端设备，其还希望感染移动设备。由于移动设备使用率及终端用户占有率极高，GhostCtrl 才引起更多的用户重视及担忧。

不过GhostCtrl也突出了深层次防护的重要性，企业应该从多方位全面进行防护。我们提出如下七点防护建议：

?及时更新设备，打好补丁程序；

?应用最小特权原则限制用户对BYOD设备的权限，以防止未经授权的访问和安装可疑应用程序；

?部署可以检测和拦截恶意文件和可疑APP的信誉评估系统；

?在终端及手机端部署防火墙，入侵检测和防护系统及时侦测恶意软件的 络行为；

?强制加强移动设备管理策略减少潜在危险；

?采取数据加密、分段 络、数据分类来降低未来数据泄露及数据损坏风险；

?定期备份设备中的数据，以防设备丢失或者数据被恶意加密。

亚信安全产品解决方案：

亚信安全TMMS产品可有效保护用户设备及数据安全，其整合云安全技术，构建移动终端安全管理体系，包括设备控管、系统安全、数据安全及应用发布。主要功能：

?通过单个控制台进行集中管理；

?移动设备安全和数据保护；

?移动应用程序管理；

?移动设备管理。