Zuhause > Cyber ​​Aktuelles > GhostCtrl Android Virus – Spioniert Nutzer weltweit
CYBER NEWS

GhostCtrl Android Virus – Spioniert Nutzer weltweit


Sicherheitsingenieure identifizierten die GhostCtrl Android Virusfamilie, die die Fähigkeit zu jeder Zeit auf den Nutzer auszuspionieren hat. Der Schadcode enthält eine voll funktionsfähige Überwachungsmodul, das aufzeichnen und übertragen Audio, Video, Screenshots und andere sensible Daten aus den Opfercomputern.

GhostCtrl Android Virus – Ein leistungsstarkes Spionage-Tool

GhostCtrl Android Virus wurde vor kurzem als Teil einer Sicherheitsuntersuchung entdeckt. Der Hacker hinter den Malware sind noch nicht bekannt - kann es eine einzelne Person oder ein kriminelles kollektiv. Der erfasste Angriff wurde untersucht und die Follow-up-Berichte zeigen die Eigenschaften der GhostCtrl Android Virusfamilie.

Der Angriff Kampagne wird weltweit auf mobile Nutzer gezielt und es gibt mehrere Versionen der Malware verfügbar. Es ist sehr wahrscheinlich, dass das Virus für eine lange Zeit in der Entwicklung war und getestet auf verschiedenen Geräten wie die Sicherheits Berichte zeigen, dass es eine Menge von potenten enthält kennzeichnete. Unter ihnen ist die komplette Überwachungsmodul.

GhostCtrl Android Virus Hacker Betreiber können die integrierten Funktionen nutzen, um Audio von dem eingebauten Mikrofon und Video mit den Kameras, die den Hackern übertragen werden können. Es ist möglich, den Android-Virus als ein sehr mächtiges Spionage und Überwachungs-Tool zu verwenden,.

ähnliche Geschichte: 8,400 Neue Malware Samples täglich für Android-Nutzer

GhostCtrl Android Virus Technischer Überblick

Bisher sind drei verschiedene Versionen des GhostCtrl Android Virus identifiziert worden. Alle von ihnen Quellcode enthalten, der aus einem Multi-Plattform-Malware stammt OmniRAT genannt, die die Kontrolle über die infizierten Rechner zu infiltrieren ist in der Lage und nehmen. Zurück in 2015 wenn es in einer globalen Angriff Kampagne ins Leben gerufen wurde unterstützt es die beliebtestenen Betriebssysteme und Geräte: Microsoft Windows, Mac OS X, Android und Gnu / Linux-Distributionen.

Es gibt zwei mögliche Szenarios, das seinen Ursprung spekulieren:

  1. GhostCtrl ist eine überarbeitet Version von OmniRAT. Zurück in 2015 wenn die Malware erkannt wurde Hacker aus der ganzen Welt verwendet es sowohl mobile und Desktop-Geräte zu infizieren. Es war für einen niedrigen Preis auf dem Hacker Underground Märkte als Abo-Paket zur Verfügung, die eine der wichtigsten Faktoren der Infektionen war.
  2. Es ist möglich, dass der Hacker-Betreiber GhostCtrl Quelle eingebaut Code von mehreren Trojanern und Viren. Der erkannte OmniRAT Code kann nur sein, nur ein Teil des Codes.

Die GhostCtrl Android-Virus wird in den Sicherheitsberichten als Iteration der OmniRAT Malware beschrieben. Wie seine Eltern ist GhostCtrl als betrieben “Bedienung”, so dass der Computer-Hacker seine Einstellungen nach Belieben konfigurieren. Sobald die Infektionen der Überwachungsmodul wird sofort gestartet gemacht worden.

Es gibt drei verschiedene Versionen des GhostCtrl Android-Virus, das verschiedene Infektion und Verhaltensweisen verfügen.

Die erste Version zielt darauf ab, sofort über Administratorrechte auf den infizierten Maschinen zu gewinnen. A zweite Version führt eine lockscreen Instanz, die gewöhnlichen Wechselwirkung effektiv mit den infizierten Geräten verhindert, bis sich die Malware entfernt wird. Es unterstützt Passwort Zurücksetzen aller Konten, Kamera-Hijacking und Scheduling-Aufgaben einrichten. Der Hacker kann auch verschiedene Daten zu stehlen mit den integrierten Funktionen ausführen.

Die dritte GhostCtrl Android-Virus-Version durch das Verschleiern von seinen Code und enthält gefälschte Urheberrecht in der Lage, sich von den meisten Antivirenerkennung Motoren zu verstecken. Während der ersten Infektionen verwendet es mehrere Schichten von String-Befehle und Pakete Erkennung zu entziehen.

GhostCtrl Android Virus-Funktionen

Sobald die erste GhostCtrl Android-Virus-Infektion der eingebaute Motor startet automatisch einen Serviceprozess, der im Hintergrund läuft gemacht wurde. Das bedeutet, dass ohne ersichtliche Interaktion mit dem Benutzer der gefährlichen Prozesse jederzeit arbeiten. Die Anwendung selbst Masken als Systemprozess und das ist in der Software Namen reflektiert - in Abhängigkeit von der Belastung kann es sein, com.android.engine oder etwas ähnliches.

Der nächste Schritt, dass der Motor durchführt, ist den Fernsteuerbefehl und kontaktieren (C&C) Server, die Infektion auf den Hacker-Betreiber zu melden. Seine interessant, dass die Viren zu einer Domäne und nicht als eine direkte IP-Adresse verbinden - dies ist eine erweiterte Taktik, die verwendet wird, nicht entdeckt zu werden. Die aufgenommenen Proben zeigen bisher Verbindungsversuche zu vier Adressen:

  • I-klife[.]ddns[.]Netto-
  • f-klife[.]ddns[.]Netto-
  • php[.]keine IP[.]biz
  • ayalove[.]keine IP[.]biz

Die kriminellen Betreiber in der Lage, Aktionen auszuführen Objekt DATA-Befehle, dies stellt eine der flexibelsten Möglichkeiten, um die infizierten Geräte steuern.

Andere ähnliche Malware Verwendung von Skripts oder Shell-Befehle, die durch Aussenden commmand Abfragen gesteuert werden. Die Verwendung von Aktionscodes ermöglicht eine flexible Eingabe. Beispiele hierfür sind die folgenden:

  • Wi-Fi staatliche Kontrolle
  • User Interface Modus Änderungen
  • vibrations~~POS=TRUNC, Mustersteuerung und Manipulation
  • Das Herunterladen von Dateien und Multimedia von Hacker-angegebenen Quellen
  • Dateien Manipulation (Modifizieren Namen, Umbenennen von Daten, Löschen von Benutzer- und Systemdateien), sowie Transfer zu den Hackern
  • Senden von SMS / MMS-Nachrichten an Hacker-Nummern versehen
  • Browser-Hijacking - Diebstahl Cookies, Browser-Verlauf, Formulardaten, gespeicherte Passwort und Kontoinformationen
  • Manipulation der installierten System- und Benutzereinstellungen
  • Ausspionieren der Nutzer-Aktivität in Echtzeit

Die Sicherheitsexperten beachten Sie, dass die GhostCtrl Android-Virus eine der umfangreichsten, wenn es um Spionage Fähigkeiten kommt. Der Motor ist in der Lage zu sammeln und praktisch alle Arten von sensiblen Informationen zu übertragen. Auch im Vergleich zu anderen Android-Informationen stealers ist sein Potenzial sehr expansives.

Nicht nur ist das Virus Motor, der Überwachung und alle gespeicherten Daten zu stehlen, es können Nachrichten aus verschiedenen Datenquellen überwachen und abfangen: SMS, MMS, Energiezustände, verschiedene Messenger-Konten, soziale Netzwerke, Sensordaten, Kamera und etc. Einer der gefährlichsten möglichen Aktionen ist die Aufzeichnung von Audio und Video aus dem infizierten Gerät und in Echtzeit an den Hacker übertragen.

Der GhostCtrl Android Virus verschlüsselt alle Datenströme zu den Kriminellen, die einen Nachweis über Netzwerkverkehrsanalyse behindert, wenn die Administratoren bekannt nicht die bösartigen Domains und C&C-Server-Adressen.

ähnliche Geschichte: FalseGuide Malware Verbindet Android-Geräte zu Adware Botnet

Juli 24 Update - Kommende GhostCtrl Ransomware Erwartete

Es ist possibble, dass zukünftige Aktualisierungen der Code а GhostCtrl Ransomware-Stamm produzieren kann. Experten spekulieren, dass solche Fortschritte Viren können leicht gezwickt werden und weiter die Erpressung Werkzeuge herzustellen verbessert. Durch die Integration von den Opfern Ransomware Taktik der kriminellen Betreiber können leicht viel mehr Gewinn machen.

Android Ransomware arbeiten in der gleichen Weise wie die Computer-Versionen - sie zielen System und Ihre persönlichen Daten, verschlüsseln sie eine starke Verschlüsselung und ändern wesentliche Einstellungen. Die meisten der aktualisierte Android-Viren beschäftigen Lockscreen-Instanzen, die gewöhnliche Computer-Interaktion zu verhindern, bis das Virus vollständig aus den Geräten entfernt. Sie verhindern auch manuelle Wiederherstellungsversuche durch die Benutzer- und Systembefehle in Echtzeit zu analysieren. Ein GhostCtrl Ransomware für Android-Geräte könnte einer der Top-Bedrohungen für diese Saison oder sogar das Jahr.

GhostCtrl Android-Virus-Infektion Methods

Android-Nutzer können mit dem GhostCtrl infiziert von dem Hacker-Betreiber zum Opfer mehrere der Verbreitung Taktik derzeit beschäftigt fallen:

  • Die Kriminellen haben gefälschte Angebote auf dem Google Play Store und anderen Repositories einzurichten, die als legitime populäre Anwendungen und Spiele Pose. Die Liste enthält Candy Crush Saga, Pokemonn GO, WhatsApp und andere
  • Weitere Infektionsquellen sind gefälschte Download-Portale, die von den Hackern kontrolliert werden und ermöglichen APK-Installationsdateien für “Seite lädt”. Dies ist die Praxis des Download und die Installation von Software (in der Regel Raubkopien) von den Internetseiten außer dem Google Play Store.
  • Malware, Web-Umleitungen und andere Gefahren können auch zu einer erfolgreichen GhostCtrl Android-Virus-Infektion führen.

GhostCtrl Android-Virus-Infektion Prävention

Es ist schwierig, gegen GhostCtrl Android-Virus-Infektionen zu schützen, wenn die mobilen Benutzer nicht folgen gute Sicherheitsrichtlinien. Android-Nutzer werden darauf hingewiesen, dass es schwierig ist, aktive Infektionen zu entfernen, da die Virus-Engine selbst injizieren kann und getarnt als Systemprozess. Dies ist der Grund, warum geeignete Maßnahmen getroffen werden müssen, Malware-Installationen zu verhindern.

Eine der wichtigsten Maßnahmen gehören die regelmäßige Aktualisierung des Systems und Benutzer installierte Anwendungen. Bei der Installation neuer Software die Benutzer benötigen, um die Benutzer Kommentare und forderte Privilegien überprüfen, Alle ungewöhnlichen Anfragen müssen ignoriert und nicht zugelassen werden. Wenn in einem Unternehmen Umwelt Administratoren in Unternehmen arbeiten, können einen zusätzlichen Schutz erzwingen - Firewalls, Black- und andere Maßnahmen.

Mobile Anti-Virus und Anti-Spyware-Lösungen können verwendet werden, um gegen mögliche Infektionen zu verteidigen.

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau