Accueil > Nouvelles Cyber > Virus Android GhostCtrl – Espionnage utilisateurs dans le monde
CYBER NOUVELLES

Virus GhostCtrl applications – Espionnage utilisateurs dans le monde


Les ingénieurs de sécurité ont identifié la famille de virus Android GhostCtrl qui a la capacité d'espionner les utilisateurs à tout moment. Le code malveillant contient un module de surveillance complet qui permet d'enregistrer et de transmettre l'audio, Vidéo, captures d'écran et d'autres données sensibles des machines aux victimes.

Virus GhostCtrl applications – Un puissant outil d'espionnage

Virus GhostCtrl Android a été récemment découvert dans le cadre d'une enquête de sécurité. Les pirates derrière les logiciels malveillants ne sont pas encore connus - il peut être une personne ou un collectif criminel. L'attaque détectée ont été étudiées et les rapports de suivi mettre en valeur les caractéristiques de la famille de virus Android GhostCtrl.

La campagne d'attaque est destiné aux utilisateurs mobiles dans le monde et il y a plusieurs versions de logiciels malveillants disponibles. Il est très probable que le virus a été en développement depuis longtemps et testé sur différents appareils comme les rapports de sécurité indiquent qu'il contient beaucoup de puissants en vedette. Parmi eux est le module de surveillance complète.

GhostCtrl opérateurs de pirates de virus Android peuvent utiliser les fonctions intégrées pour enregistrer l'audio à partir du microphone intégré et vidéo à l'aide des caméras qui peuvent être transmises aux pirates. Il est possible d'utiliser le virus Android comme un outil d'espionnage et de surveillance très puissant.

histoire connexes: 8,400 De nouveaux échantillons de malwares quotidiens pour les utilisateurs Android

GhostCtrl Android Virus Présentation technique

Jusqu'à présent, trois versions distinctes du virus GhostCtrl Android ont été identifiés. Tous contiennent le code source qui provient d'un logiciel malveillant multi plate-forme appelée OmniRAT qui est capable d'infiltrer et de prendre le contrôle des hôtes infectés. Retour en 2015 quand il a été lancé dans une campagne d'attaque mondiale, il a soutenu les plus populaires systèmes d'exploitation et appareils: Microsoft Windows, Mac OS X, distributions Android et Gnu / Linux.

Il y a deux scénarios possibles qui spéculent ses origines:

  1. GhostCtrl est une version de refonte OmniRAT. Retour en 2015 lorsque le logiciel malveillant a été détecté pirates du monde entier ont utilisé pour infecter les appareils mobiles et de bureau. Il était disponible sur les marchés souterrains de pirate informatique comme un abonnement pour un prix qui a été l'un des principaux facteurs d'infection.
  2. Il est possible que les opérateurs de pirates de GhostCtrl ont incorporé le code source de plusieurs chevaux de Troie et les virus. Le code OmniRAT détecté peut être simplement qu'une partie du code.

Le virus Android GhostCtrl est décrit dans les rapports de sécurité comme une itération du logiciel malveillant OmniRAT. Comme son parent GhostCtrl fonctionne comme “service”, permettant aux pirates informatiques de configurer ses paramètres à volonté. Une fois que les infections ont été faites le module de surveillance est immédiatement commencé.

Il existe trois versions distinctes du virus Android GhostCtrl qui présentent des infections différentes et modèles de comportement.

La première version vise à acquérir immédiatement des privilèges d'administrateur sur les machines infectées. Une deuxième version introduit une instance lockscreen qui empêche efficacement l'interaction ordinaire avec les appareils infectés jusqu'à ce que le malware est supprimé. Il prend en charge la remise à zéro du mot de passe de tous les comptes, détournement d'avion de la caméra et la mise en place des tâches de planification. Les pirates peuvent également exécuter diverses données en utilisant les fonctions de voler intégrées.

La troisième version du virus GhostCtrl Android est capable de se cacher de la plupart des moteurs de détection anti-virus par obscurcissant son code et incorporant le droit d'auteur faux. Au cours des infections initiales, il utilise plusieurs couches de commandes de chaîne et des paquets pour éviter la détection.

Réseau de virus GhostCtrl Applications

Une fois que l'infection initiale de virus Android GhostCtrl a été le moteur intégré se lance automatiquement un processus de service qui fonctionne en arrière-plan. Cela signifie que, sans intervention de l'utilisateur apparent les processus dangereux travaillent en tout temps. L'application des masques se présente comme un processus système et cela se reflète dans le nom du logiciel - en fonction de la souche, il peut être com.android.engine ou quelque chose de similaire.

L'étape suivante que le moteur effectue est de communiquer avec la commande à distance et de contrôle (C&C) serveurs de signaler l'infection aux opérateurs de pirates informatiques. Son intéressant de noter que les virus se connectent à un domaine plutôt qu'une adresse IP directe - c'est une tactique avancée qui est utilisée pour échapper à la détection. Les échantillons capturés mettent en valeur jusqu'à présent les tentatives de connexion à quatre adresses:

  • I-klife[.]DDNS[.]net
  • f-klife[.]DDNS[.]net
  • php[.]no-ip[.]biz
  • ayalove[.]no-ip[.]biz

Les opérateurs criminels sont en mesure d'exécuter des actions à l'aide des commandes de l'objet DATA, cela donne l'un des moyens les plus flexibles de commande des dispositifs infectés.

Autres scripts d'utilisation des logiciels malveillants similaires ou des commandes shell qui sont contrôlés en envoyant des requêtes COMMANDEMENT. L'utilisation de codes d'action permet une entrée souple. Voici quelques exemples:

  • contrôle de l'État Wi-Fi
  • changements de mode d'interface utilisateur
  • Fonction de vibration, commande de motif et de manipulation
  • Le téléchargement de fichiers et multimédia à partir de certaines sources pirates-
  • la manipulation des fichiers (Les noms de modification, données renommer, suppression de fichiers utilisateur et système), ainsi que le transfert aux pirates
  • Envoi de messages SMS / MMS vers des numéros fournis pirates-
  • Détournement de navigateur - les cookies voler, l'historique de navigation, formulaire de données, mot de passe stockés et les informations d'identification compte
  • Manipulation du système installé et les paramètres utilisateur
  • Espionner sur l'activité des utilisateurs en temps réel

Les chercheurs en sécurité notent que le virus Android GhostCtrl est l'un des plus étendus en matière de capacités d'espionnage. Le moteur est en mesure de recueillir et de transmettre pratiquement tous les types d'informations sensibles. Même par rapport à d'autres informations Android stealers son potentiel est très vaste.

Non seulement le moteur de virus capable de surveiller et de voler toutes les données stockées, il peut surveiller et intercepter les messages provenant de différentes sources de données: SMS, MMS, états d'alimentation, divers comptes de messagerie, réseaux sociaux, données de capteur, caméra et etc. L'une des actions les plus dangereuses possibles est l'enregistrement audio et vidéo à partir de l'appareil infecté et transmettre en temps réel aux pirates.

Le virus Android GhostCtrl crypte tous les flux de données aux criminels qui entrave la détection en utilisant l'analyse du trafic réseau si les administrateurs ne sont pas connus les domaines malveillants et C&C adresses de serveur.

histoire connexes: Malware FalseGuide de connecter des périphériques Android pour Adware Botnet

Juillet 24 Mise à jour - À venir GhostCtrl Ransomware Expected

Il est possibble que les mises à jour futures du code peuvent produire а GhostCtrl souche ransomware. Les experts pensent que ces avances virus peuvent être facilement modifié et encore améliorées pour produire les outils d'extorsion. En intégrant des tactiques de ransomware les opérateurs criminels peuvent facilement faire beaucoup plus profit des victimes.

travail Android ransomware de la même manière que les versions informatiques - ils ciblent le système et des données personnelles, chiffrer l'aide d'un chiffrement fort et modifier les paramètres essentiels. La plupart des virus Android mis à jour emploient des instances lockscreen qui empêchent l'interaction de l'ordinateur ordinaire jusqu'à ce que le virus soit complètement retiré des dispositifs. Ils empêchent également les tentatives de récupération manuelle en analysant les commandes utilisateur et système en temps réel. Un ransomware de GhostCtrl pour les appareils Android pourrait devenir l'une des principales menaces pour cette saison ou même l'année.

GhostCtrl Android Virus Méthodes d'infection

Les utilisateurs d'Android peuvent être infectés par la GhostCtrl par victime à plusieurs des tactiques de propagation actuellement employées par les opérateurs de pirates informatiques:

  • Les criminels ont mis en place des listes de faux sur le Google Play Store et d'autres dépôts qui se présentent comme des applications populaires légitimes et des jeux. La liste comprend bonbons Crush Saga, Pokemonn GO, WhatsApp et d'autres
  • D'autres sources d'infection incluent des portails de téléchargement faux qui sont contrôlés par les pirates et permettent les fichiers d'installation APK pour “Sideloading”. Ceci est la pratique du téléchargement et l'installation de logiciels (copies pirates habituellement) à partir de sites Internet autres que le Google Play Store.
  • Malware, redirigée et d'autres dangers peut aussi conduire à une infection par le virus avec succès Android GhostCtrl.

GhostCtrl Android Virus Prévention des infections

Il est difficile de se défendre contre les infections virales GhostCtrl Android si les utilisateurs mobiles ne suivent pas les bonnes consignes de sécurité. Les utilisateurs d'Android sont avertis qu'il est difficile d'éliminer les infections actives comme moteur de virus est capable de s'injecter et se faisant passer pour des processus système. Ceci est la raison pour laquelle il faut prendre des mesures adéquates pour empêcher les installations de logiciels malveillants.

L'une des mesures les plus importantes comprennent la mise à jour régulière du système et des applications installées par l'utilisateur. Lors de l'installation de nouveaux logiciels les utilisateurs doivent vérifier les commentaires des utilisateurs et des privilèges demandés, toutes les demandes inhabituelles doivent être ignorées et rejetées. Si vous travaillez dans un environnement d'entreprise aux administrateurs d'entreprise peuvent appliquer une protection supplémentaire - pare-feu, listes noires et d'autres mesures.

anti-virus et des solutions anti-spyware mobiles peuvent être utilisés pour se défendre contre les infections possibles.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord