Sikkerhed ingeniører identificeret GhostCtrl Android-virus familie, der har evnen til at udspionere brugerne på alle tidspunkter. Den ondsindede kode indeholder en fuldt udstyret overvågning modul, der kan optage og transmittere lyd, video, skærmbilleder og andre følsomme data fra offer maskiner.
GhostCtrl Android Virus – En kraftfuld spionage værktøj
GhostCtrl Android Virus blev for nylig opdaget som en del af en sikkerhed undersøgelse. Hackerne bag malware stadig ukendt - det kan være en enkeltperson eller en kriminel kollektiv. Det fundne angreb er blevet undersøgt, og de opfølgningsrapporter fremvise funktionerne i GhostCtrl Android-virus familie.
Angrebet kampagne er rettet mod mobile brugere over hele verden, og der er flere versioner af malware til rådighed. Det er meget sandsynligt, at virussen har været under udvikling i lang tid og testet på forskellige enheder som de sikkerhedsmæssige rapporter viser, at det indeholder en masse af potente featured. Blandt dem er den komplette overvågning modul.
GhostCtrl Android-virus hacker operatører kan udnytte de indbyggede funktioner til at optage lyd fra den indbyggede mikrofon og video ved hjælp af de kameraer, der kan overføres til hackere. Det er muligt at udnytte den Android-virus som en meget kraftfuld spionage og overvågning værktøj.
GhostCtrl Android Virus Teknisk oversigt
Så er blevet identificeret langt tre distinkte versioner af GhostCtrl Android Virus. Alle af dem indeholder kildekode, der stammer fra et multi-platform malware kaldet OmniRAT der er i stand til at infiltrere og overtage kontrollen over de inficerede værter. Tilbage i 2015 da det blev lanceret i en global angreb kampagne støttede de mest populære operativsystemer og enheder: Microsoft Windows, Mac OS X, Android og GNU / Linux-distributioner.
Der er to mulige scenario, der spekulere sin oprindelse:
- GhostCtrl er en overhaling version af OmniRAT. Tilbage i 2015 når blev opdaget malware hackere fra hele verden brugt det til at inficere både mobile og stationære enheder. Det var tilgængelig på hacker underjordiske markeder som et abonnement pakke til en lav pris, som var en af de vigtigste faktorer for infektioner.
- Det er muligt, at hacker operatører af GhostCtrl har indarbejdet kildekode af flere trojanske heste og vira. Den detekterede OmniRAT kode kan kun være blot en del af koden.
Den GhostCtrl Android-virus er beskrevet i sikkerhedsrapporter som en gentagelse af OmniRAT malware. Ligesom dens forælder GhostCtrl drives som en “service”, gør det muligt for hackere at konfigurere indstillingerne efter behag. Når infektioner er foretaget overvågning modulet straks begyndte.
Der er tre forskellige versioner af GhostCtrl Android-virus, at funktionen forskellige infektion og adfærdsmønstre.
Den første version har til formål at straks få administratorrettigheder på de inficerede maskiner. A anden version introducerer en lockscreen instans, der effektivt forhindrer almindelig interaktion med de inficerede enheder indtil malware fjernes. Det understøtter adgangskode nulstilling af alle konti, kamera kapring og opsætning af planlægning af opgaver. Hackerne kan også udføre forskellige data stjæle ved hjælp af de indbyggede funktioner.
Den tredje GhostCtrl Android-virus-version er i stand til at skjule sig fra de fleste anti-virus afsløring motorer ved obfuscating sin kode og indarbejde falsk ophavsret. Under de indledende infektioner det bruger flere lag af snor kommandoer og pakker til undgå opdagelse.
GhostCtrl Android Virus Capabilities
Når den første GhostCtrl Android virusinfektion er blevet gjort den indbyggede motor starter automatisk en tjeneste proces, der kører i baggrunden. Det betyder, at de farlige processer uden nogen tilsyneladende brugerinteraktion arbejder på alle tidspunkter. Ansøgningen selv masker som et system proces, og der er afspejlet i softwaren navn - afhængig af belastning kan det være com.android.engine eller noget lignende.
Det næste skridt, at motoren udfører er at kontakte den eksterne kommando og kontrol (C&C) servere til at rapportere infektionen til hacker operatører. Dens interessant at bemærke, at virus forbinde til et domæne i stedet for en direkte IP-adresse - dette er en avanceret taktik, der bruges til at undgå opdagelse. De optagne prøver hidtil fremvise forbindelsesforsøg til fire adresser:
- I-klife[.]DDNS[.]netto
- f-klife[.]DDNS[.]netto
- php[.]no-ip[.]biz
- ayalove[.]no-ip[.]biz
De kriminelle operatører er i stand til at udføre handlinger ved hjælp Object DATA kommandoer, Dette giver en af de mest fleksible måder at kontrollere de inficerede enheder.
Andre lignende malware betjene scripts eller skalkommandoer, som styres ved at udsende commmand forespørgsler. Anvendelsen af handlingskoder tillader en fleksibel input. Eksempler indbefatter følgende:
- Wi-Fi statskontrol
- ændringer brugergrænsefladetilstand
- Vibration-funktion, kontrol mønster og manipulation
- Downloading af filer og multimedier fra hacker-specificerede kilder
- Filer manipulation (modificering navne, omdøbning af data, sletning bruger- og systemfiler), samt overførsel til hackere
- Afsendelse af SMS / MMS-beskeder til hacker-leverede tal
- Browserkapring - stjæle cookies, browserhistorik, formulardata, lagrede adgangskode og kontooplysninger
- Manipulation af installerede system og brugerindstillinger
- Udspionerer brugernes aktivitet i realtid
De sikkerhedseksperter bemærke, at GhostCtrl Android-virus er en af de mest omfattende, når det kommer til spionage kapaciteter. Motoren er i stand til at indsamle og sende stort set alle typer af følsomme oplysninger. Selv i forhold til andre Android oplysninger stealers dets potentiale er meget ekspansiv.
Ikke alene er den virus motor i stand til at overvåge og stjæle alle de lagrede data, det kan overvåge og aflytte beskeder fra forskellige datakilder: SMS, MMS, strømtilstande, forskellige messenger-konti, sociale netværk, sensordata, kamera og etc. En af de farligste mulige handlinger er optagelse af lyd og video fra den inficerede enhed og sende den i realtid til hackere.
Den GhostCtrl Android-virus krypterer alle datastrømme til de kriminelle, der hindrer påvisning ved netværkstrafik analyse, hvis administratorerne ikke kendt den ondsindede domæner og C&C server adresser.
Juli 24 Opdatering - Kommende GhostCtrl Ransomware Forventet
Det er possibble at fremtidige opdateringer af koden kan producere а GhostCtrl ransomware stammen. Eksperter spekulere, at sådanne forskud virus kan let sammenknebne og yderligere forbedret for at producere afpresning værktøjer. Ved at indarbejde ransomware taktik de kriminelle operatører nemt kan gøre meget mere overskud ud af ofrene.
Android ramsomware arbejde på samme måde som computer versioner - de målrette systemet og personoplysninger, kryptere det ved hjælp af en stærk cipher og ændre vigtige indstillinger. De fleste af de opdaterede Android vira ansætte låseskærmen instanser, der forhindrer almindelig computer interaktion, indtil virussen er helt fjernet fra enhederne. De forhindrer også manuelle forsøg recovery ved at analysere de bruger og system kommandoer i realtid. En GhostCtrl ransomware til Android-enheder kan blive en af de øverste trusler for denne sæson eller endda år.
GhostCtrl Android Virus Infektion Metoder
Android-brugere kan blive smittet med GhostCtrl ved at blive ofre for flere af de spredte taktik i øjeblikket ansat af hacker operatører:
- De kriminelle har oprettet falske programoversigter på Google Play Store og andre depoter, der udgør som legitime populære programmer og spil. Listen omfatter Candy Crush Saga, Pokemonn GO, WhatsApp og andre
- Andre smittekilder omfatter falske download-portaler, der kontrolleres af hackere og tillade APK installationsfiler til “sideloading”. Dette er den praksis henter og installerer, (normalt piratkopier) fra andre end Google Play Store internetsider.
- Malware, web omdirigeringer og andre farer kan også føre til en succesfuld GhostCtrl Android virusinfektion.
GhostCtrl Android Virus Infektion Forebyggelse
Det er svært at forsvare sig mod GhostCtrl Android virusinfektioner, hvis de mobile brugere ikke følger gode sikkerhedsretningslinjer. Android-brugere er advaret om, at det er vanskeligt at fjerne aktive infektioner som virus motoren er i stand til at injicere sig selv og forklædt som system processer. Dette er grunden til, skal der træffes passende foranstaltninger for at forhindre malware installationer.
En af de vigtigste foranstaltninger omfatter regelmæssig opdatering af systemet og brugerens installerede applikationer. Når du installerer ny software brugerne har brug for at kontrollere brugernes kommentarer og anmodet privilegier, alle usædvanlige anmodninger har brug for at blive ignoreret og ikke tilladt. Hvis du arbejder i et selskab miljø virksomhedernes administratorer kan håndhæve ekstra beskyttelse - firewalls, sortlister og andre foranstaltninger.
Mobil anti-virus og anti-spyware-løsninger kan bruges til at forsvare sig mod eventuelle infektioner.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: