ingegneri della sicurezza hanno identificato la famiglia di virus GhostCtrl Android che ha la capacità di spiare gli utenti in ogni momento. Il codice maligno contiene un modulo di sorveglianza fully-featured in grado di registrare e trasmettere l'audio, video, screenshot e altri dati sensibili dai computer delle vittime.
GhostCtrl Android Virus – Uno strumento potente Spionaggio
GhostCtrl Android Virus è stato recentemente scoperto come parte di un'indagine di sicurezza. Gli hacker dietro il malware non sono ancora noti - può essere una singola persona o di un collettivo penale. L'attacco rilevato sono stati indagati e le relazioni di follow-up in mostra le caratteristiche della famiglia di virus GhostCtrl Android.
La campagna di attacco è rivolto a utenti di telefonia mobile in tutto il mondo e ci sono diverse versioni del malware disponibili. E 'molto probabile che il virus è stato in sviluppo per lungo tempo e testato su diversi dispositivi, come i rapporti di sicurezza indicano che contiene un sacco di potenti funzionalità. Tra di loro è il modulo di sorveglianza completo.
GhostCtrl Android operatori virus degli hacker possono utilizzare le funzioni built-in per registrare audio dal microfono e il video incorporato utilizzando le telecamere che possono essere trasmessi agli hacker. E 'possibile utilizzare il virus Android come un potente strumento di spionaggio e sorveglianza.
GhostCtrl Android Virus Panoramica tecnica
Quindi, sono stati identificati lontano tre distinte versioni del virus GhostCtrl Android. Tutti contengono codice sorgente che origina da una piattaforma multi di malware chiamato OmniRAT che è in grado di infiltrarsi e prendere il controllo delle host infettati. Già nel 2015 quando è stato lanciato in una campagna di attacco globale ha sostenuto i più diffusi sistemi operativi e dispositivi: Microsoft Windows, Mac OS X, distribuzioni Android e Gnu / Linux.
Ci sono due possibili scenari che ipotizzano le sue origini:
- GhostCtrl è una versione revisionata di OmniRAT. Già nel 2015 hacker in cui è stato rilevato il malware provenienti da tutto il mondo hanno usato per infettare entrambi i dispositivi mobili e desktop. Era disponibile sui mercati degli hacker sotterranei come un pacchetto di sottoscrizione per un prezzo basso che è stato uno dei principali fattori di infezioni.
- E 'possibile che gli operatori degli hacker di GhostCtrl codice sorgente hanno integrato di diversi trojan e virus. Il codice OmniRAT rivelato può essere semplicemente solo una parte del codice.
Il virus GhostCtrl Android è descritto nei rapporti di sicurezza come un'iterazione del malware OmniRAT. Come il suo genitore GhostCtrl è gestito come un “servizio”, permettendo agli hacker di computer per configurare le impostazioni a piacimento. Una volta che le infezioni sono state fatte viene immediatamente avviato il modulo sorveglianza.
Ci sono tre versioni distinte del virus GhostCtrl Android che dispongono di diversi modelli di infezione e di comportamento.
Il prima versione ha lo scopo di ottenere immediatamente i privilegi di amministratore sulle macchine infette. La seconda versione introduce un'istanza lockscreen che impedisce efficacemente l'interazione ordinaria con i dispositivi infetti finché il malware viene rimosso. Supporta il reset della password di tutti gli account, fotocamera dirottamento e la creazione di attività di programmazione. Gli hacker possono anche eseguire varie rubare dati utilizzando le funzioni incorporate.
Il terza versione virus GhostCtrl Android è in grado di nascondersi dalla maggior parte dei motori di rilevamento anti-virus da offuscando il suo codice e che incorporano diritti d'autore falso. Durante le infezioni iniziali utilizza diversi strati di comandi di stringa e pacchetti di eludere il rilevamento.
Funzionalità Virus GhostCtrl Android
Una volta che l'infezione iniziale da virus GhostCtrl Android è stato reso il motore incorporato avvia automaticamente un processo di servizio che viene eseguito in background. Ciò significa che, senza alcuna interazione apparente i processi pericolosi stanno lavorando in ogni momento. L'applicazione si maschera come un processo di sistema e che si riflette nel nome del software - a seconda del ceppo può essere com.android.engine o qualcosa di simile.
Il passo successivo che il motore esegue è contattare il comando e controllo remoto (C&C) i server di segnalare l'infezione agli operatori degli hacker. La sua interessante notare che il virus si collegano a un dominio piuttosto che un indirizzo IP diretta - questa è una tattica avanzata che viene utilizzato per eludere i rilevamenti. I campioni acquisite finora vetrina tentativi di connessione a quattro indirizzi:
- I-klife[.]ddns[.]netto
- f-klife[.]ddns[.]netto
- php[.]no-ip[.]biz
- ayalove[.]no-ip[.]biz
Gli operatori criminali sono in grado di eseguire azioni utilizzando i comandi dati dell'oggetto, questo fornisce uno dei modi più flessibili di controllare i dispositivi infetti.
Altri simili utilizzare gli script di malware o comandi di shell che sono controllati con l'invio di query commmand. L'uso di codici di azione consente un ingresso flessibile. Alcuni esempi sono i seguenti:
- controllo dello Stato Wi-Fi
- Utente cambia modalità di interfaccia
- funzione di vibrazione, controllo del modello e manipolazione
- Il download di file e multimediali da fonti di hacker-specificata
- la manipolazione di file (modificando i nomi, dati ridenominazione, l'eliminazione di file utente e di sistema), nonché trasferimento agli hacker
- L'invio di messaggi SMS / MMS a numeri di hacker fornito
- Dirottamento del browser - cookie rubare, cronologia di navigazione, dati del modulo, credenziali di password e account memorizzati
- Manipolazione del sistema installato e le impostazioni utente
- Spiare l'attività degli utenti in tempo reale
I ricercatori di sicurezza di notare che il virus GhostCtrl Android è uno dei più ampia quando si tratta di capacità di spionaggio. Il motore è in grado di raccogliere e trasmettere praticamente tutti i tipi di informazioni sensibili. Anche rispetto ad altri ladri di informazioni Android il suo potenziale è molto espansivo.
Non solo è il motore antivirus in grado di monitorare e rubare tutti i dati memorizzati, è in grado di monitorare e intercettare i messaggi provenienti da diverse fonti di dati: Sms, MMS, stati di alimentazione, vari account di messaggistica, social networks, dati del sensore, macchina fotografica ed ecc. Una delle azioni più pericolose possibili è la registrazione di audio e video dal dispositivo infetto e trasmissione in tempo reale per gli hacker.
Il virus GhostCtrl Android crittografa tutti i flussi di dati ai criminali che ostacola il rilevamento utilizzando l'analisi del traffico di rete se gli amministratori non conoscono i domini maligni e C&gli indirizzi dei server C.
Luglio 24 Aggiornamento - Prossimi GhostCtrl ransomware Previsto
È possibble che i futuri aggiornamenti al codice possono produrre а GhostCtrl ceppo ransomware. Gli esperti ipotizzano che tali progressi virus possono essere facilmente modificate e migliorate per la produzione di strumenti di estorsione ulteriormente. Incorporando le tattiche ransomware gli operatori criminali possono facilmente fare molto più profitto delle vittime.
lavoro ransomware Android nello stesso modo come le versioni per computer - si sistema ei dati personali bersaglio, crittografare utilizzando una forte crittografia e modificare le impostazioni essenziali. La maggior parte dei virus Android aggiornato impiegano casi lockscreen che impediscono l'interazione ordinaria computer fino a quando il virus viene completamente rimosso dai dispositivi. Impediscono anche tentativi di recupero manuali analizzando i comandi utente e di sistema in tempo reale. Un ransomware GhostCtrl per i dispositivi Android potrebbe diventare una delle principali minacce per questa stagione o anche l'anno.
GhostCtrl Android Metodi infezione da virus
Gli utenti Android possono infettarsi con il GhostCtrl cadendo vittima di molte delle tattiche spread attualmente impiegati dagli operatori degli hacker:
- I criminali hanno creato annunci falsi sul Google Play Store e altri repository che pongono applicazioni popolari come legittime e giochi. L'elenco comprende Candy Crush Saga, Pokemonn GO, WhatsApp e altri
- Altre fonti di infezione sono falsi portali di download che sono controllati dagli hacker e consentono ai file di installazione APK per “sideloading”. Questa è la pratica di scaricare e installare software (copie di solito pirata) da siti internet diversi dal Play Store di Google.
- Malware, web reindirizza e altri pericoli può anche portare a un successo infezione da virus GhostCtrl Android.
GhostCtrl Android infezione da virus Prevenzione
E 'difficile difendersi da infezioni da virus GhostCtrl Android se gli utenti mobili non seguono le linee guida buona sicurezza. Gli utenti Android sono avvertiti che è difficile da rimuovere infezioni attive come il motore antivirus è in grado di iniettare se stesso e mascherati da processi di sistema. Questo è il motivo per cui devono essere prese misure adeguate per impedire le installazioni di malware.
Una delle misure più importanti includono l'aggiornamento periodico del sistema e le applicazioni installate dall'utente. Durante l'installazione di un nuovo software gli utenti devono controllare i commenti degli utenti e dei privilegi richiesti, tutte le richieste insolite devono essere ignorati e non riconosciute. Se si lavora in un ambiente aziendale amministratori aziendali possono imporre una protezione aggiuntiva - firewall, blacklist e altre misure.
Le soluzioni Mobile Anti-Virus e anti-spyware possono essere utilizzate per difendersi da possibili infezioni.