Casa > Ciber Noticias > Virus de Android GhostCtrl – Los usuarios de espionaje en todo el mundo
CYBER NOTICIAS

Virus GhostCtrl Android – Los usuarios de espionaje en todo el mundo


ingenieros de seguridad identifican la familia del virus GhostCtrl Android que tiene la capacidad de espiar a los usuarios en todo momento. El código malicioso contiene un módulo de vigilancia con todas las funciones que se pueden grabar y transmitir audio, vídeo, capturas de pantalla y otros datos confidenciales de los ordenadores de los usuarios.

Virus GhostCtrl Android – Una herramienta de espionaje de gran alcance

Virus GhostCtrl Android fue descubierto recientemente como parte de una investigación de seguridad. Los hackers detrás del malware aún no se conocen - puede ser una persona o un colectivo penal. El ataque detectado han sido investigados y los informes de seguimiento mostrar las características de la familia del virus GhostCtrl Android.

La campaña de ataque está dirigido a los usuarios móviles en todo el mundo y hay varias versiones del programa malicioso disponibles. Es muy probable que el virus ha estado en desarrollo durante mucho tiempo y probado en diferentes dispositivos como los informes de seguridad indican que contiene una gran cantidad de potentes funciones. Entre ellos se encuentra el módulo de vigilancia completa.

GhostCtrl Android operadores de hackers virus pueden utilizar las funciones incorporadas para grabar audio desde el micrófono y el vídeo incorporado en el uso de las cámaras que se pueden transmitir a los piratas informáticos. Es posible utilizar el virus de Android como una muy poderosa herramienta de espionaje y vigilancia.

Artículo relacionado: 8,400 Nuevas muestras de malware diarias para usuarios de Android

Virus GhostCtrl Android Descripción técnica general

Así se han identificado ahora tres versiones distintas del virus GhostCtrl Android. Todos ellos contienen el código fuente que se origina a partir de una plataforma de múltiples software malicioso llamado OmniRAT que es capaz de infiltrarse y tomar el control de los huéspedes infectados. De nuevo en 2015 cuando fue lanzado en una campaña de lucha a nivel mundial que apoya los sistemas operativos más populares y dispositivos: Microsoft Windows, Mac OS X, Android y GNU / Linux distribuciones.

Hay dos posibles escenarios que especulan sus orígenes:

  1. GhostCtrl es una versión revisado de OmniRAT. De nuevo en 2015 piratas informáticos cuando se detectó el malware de todo el mundo utilizaron para infectar tanto a los dispositivos móviles y de escritorio. Estaba disponible en los mercados de hackers subterráneas como un paquete de suscripción a un precio bajo, que era uno de los principales factores de infecciones.
  2. Es posible que los operadores de hackers GhostCtrl código fuente han incorporado varias de troyanos y virus. El código OmniRAT detectada puede ser simplemente sólo una parte del código.

El virus GhostCtrl Android se describe en los informes de seguridad como una iteración del software malicioso OmniRAT. Al igual que su padre GhostCtrl es operado como una “Servicio”, permitiendo que los piratas informáticos para configurar sus parámetros a voluntad. Una vez realizadas las infecciones del módulo de vigilancia se inicia inmediatamente.

Hay tres versiones distintas del virus GhostCtrl Android que cuentan con diferentes patrones de infección y de comportamiento.

El primera versión aspira a ganar inmediatamente privilegios de administrador en las máquinas infectadas. La segunda versión introduce una instancia de pantalla de bloqueo que impide eficazmente la interacción normal con los dispositivos infectados hasta que se elimina el malware. Es compatible con Restablecimiento de la contraseña de todas las cuentas, secuestro de la cámara y la configuración de la programación de tareas. Los hackers también pueden ejecutar varias robo de datos utilizando las funciones integradas.

El tercera versión del virus GhostCtrl Android es capaz de se oculta de la mayoría de los motores de detección antivirus ofuscar su código y la incorporación de los derechos de autor falsa. Durante las infecciones iniciales que utiliza varias capas de comandos de cuerda y paquetes para evitar ser detectados.

Capacidades de virus GhostCtrl Android

Una vez realizada la infección inicial del virus GhostCtrl Android el motor incorporado se inicia automáticamente un proceso de servicio que se ejecuta en segundo plano. Esto significa que sin ninguna interacción del usuario aparente los procesos peligrosos están trabajando en todo momento. La aplicación se disfraza como un proceso del sistema y que se refleja en el nombre del software - dependiendo de la cepa puede ser com.android.engine o algo similar.

El siguiente paso que el motor funciona es ponerse en contacto con el comando y control remoto (C&C) servidores para informar de la infección a los operadores de hackers. Es interesante observar que los virus se conectan a un dominio en lugar de una dirección IP directa - se trata de una táctica avanzada que se utiliza para evitar ser detectados. Las muestras captadas hasta el momento escaparate de intentos de conexión de cuatro direcciones:

  • I-klife[.]DDNS[.]neto
  • f-klife[.]DDNS[.]neto
  • php[.]sin IP[.]negocio
  • ayalove[.]sin IP[.]negocio

Los operadores criminales son capaces de ejecutar acciones mediante comandos de datos de objetos, esto proporciona una de las formas más flexibles de control de los dispositivos infectados.

Otros utilizan secuencias de comandos de malware similares o comandos de shell que se controlan mediante el envío de consultas commmand. El uso de códigos de acción permite una flexible de entrada. Los ejemplos incluyen lo siguiente:

  • control de Wi-Fi Estado
  • Interfaz de usuario cambia el modo de
  • La función de vibración, control del patrón y la manipulación
  • La descarga de archivos y multimedia a partir de fuentes de hackers especificado
  • manipulación de archivos (la modificación de nombres, datos de cambio de nombre, la eliminación de archivos de sistema y usuario), así como la transferencia a los hackers
  • Envío de mensajes SMS / MMS al número de piratas informáticos proporcionados
  • Secuestro del navegador - que roban las galletas, historial de navegación, los datos del formulario, credenciales de cuenta y contraseña almacenados
  • La manipulación del sistema instalado y la configuración del usuario
  • Espiar a la actividad de los usuarios en tiempo real

Los investigadores de seguridad, tenga en cuenta que el virus GhostCtrl Android es uno de los más extensos cuando se trata de capacidades de espionaje. El motor es capaz de recoger y transmitir prácticamente todo tipo de información sensible. Incluso en comparación con otros ladrones de información Android su potencial es muy amplio.

No sólo es el motor de virus capaz de monitorizar y robar todos los datos almacenados, se puede monitorear e interceptar mensajes de diferentes fuentes de datos: SMS, MMS, estados de energía, varias cuentas de mensajería, redes sociales, datos del sensor, cámara y etc.. Una de las acciones más peligrosas posibles es la grabación de audio y vídeo desde el dispositivo infectado y transmitir en tiempo real a los piratas informáticos.

El virus GhostCtrl Android cifra todos los flujos de datos a los criminales que dificulta la detección utilizando el análisis de tráfico de red si los administradores no conocen los dominios maliciosos y C&las direcciones del servidor C.

Artículo relacionado: FalseGuide malware conecta los dispositivos Android para Adware Botnet

Julio 24 Actualización - próximos GhostCtrl ransomware esperado

Es possibble que las futuras actualizaciones del Código pueden producir GhostCtrl а cepa ransomware. Los expertos especulan que los virus tales avances pueden ser fácilmente ajustados y mejorados para producir las herramientas de extorsión más. Mediante la incorporación de las tácticas ransomware los operadores criminales pueden fácilmente hacer mucho más beneficio de las víctimas.

trabajo ransomware Android de la misma manera que las versiones de ordenador - que el sistema y los datos personales se dirigen, cifrarlo utilizando un sistema de cifrado fuerte y modificar los valores esenciales. La mayoría de los virus Android actualizados emplean casos de bloqueo de pantalla que impiden la interacción computadora ordinaria hasta que el virus se elimina por completo de los dispositivos. También evitan que los intentos de recuperación manuales mediante el análisis de los comandos de usuario y de sistema en tiempo real. Un ransomware GhostCtrl para dispositivos Android podría llegar a ser una de las principales amenazas para esta temporada o incluso el año.

GhostCtrl Android Métodos Virus Infection

Los usuarios de Android pueden infectarse con el GhostCtrl por ser víctima de varias de las tácticas de cálculo utilizadas actualmente por los operadores de los hackers:

  • Los criminales han creado anuncios falsos en la Google Play Store y otros depósitos que representan las aplicaciones más populares como legítimos y juegos. La lista incluye Saga caramelo Crush, Pokemonn GO, WhatsApp y otros
  • Otras fuentes de infección incluyen portales de descarga falsos que son controlados por los hackers y permitir que los archivos de instalación para el APK “carga lateral”. Esta es la práctica de descargar e instalar el software (copias piratas por lo general) desde sitios de Internet que no sean la tienda de Google Play.
  • Malware, web redirige y otros peligros también puede conducir a una infección por virus de la exitosa GhostCtrl Android.

GhostCtrl Android Prevención de Infección por el Virus

Es difícil defenderse de las infecciones por virus GhostCtrl Android si los usuarios móviles no siguen buenas pautas de seguridad. Los usuarios de Android se les advierte que es difícil de eliminar infecciones activas como el motor de virus es capaz de inyectar a sí mismo y haciéndose pasar por los procesos del sistema. Esta es la razón por la cual se deben tomar las medidas adecuadas para evitar que las instalaciones de malware.

Una de las medidas más importantes incluyen la actualización regular del sistema y las aplicaciones instaladas por el usuario. Al instalar un nuevo software los usuarios necesitan para comprobar los comentarios del usuario y privilegios solicitados, todas las solicitudes inusuales necesitan ser ignorado y rechazado. Si se trabaja en un entorno de empresa administradores corporativos pueden hacer cumplir una protección adicional - cortafuegos, listas negras y otras medidas.

soluciones anti-virus móvil y anti-spyware se pueden utilizar para defenderse de posibles infecciones.

avatar

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...