GhostCtrlAndroidウイルス – 世界中のスパイユーザー

セキュリティエンジニアは、常にユーザーをスパイする機能を持つGhostCtrlAndroidウイルスファミリーを特定しました. 悪意のあるコードには、音声を録音および送信できるフル機能の監視モジュールが含まれています, ビデオ, 被害者のマシンからのスクリーンショットやその他の機密データ.

GhostCtrl Androidウイルスは、セキュリティ調査の一環として最近発見されました. マルウェアの背後にいるハッカーはまだ知られていません–それは個人または犯罪者集団である可能性があります. 検出された攻撃は調査され、フォローアップレポートはGhostCtrlAndroidウイルスファミリーの機能を示しています.

攻撃キャンペーンは世界中のモバイルユーザーを対象としており、マルウェアにはいくつかのバージョンがあります. ウイルスは長い間開発されており、さまざまなデバイスでテストされている可能性が非常に高いです。セキュリティレポートでは、強力な機能が多数含まれていることが示されています。. その中には、完全な監視モジュールがあります.

GhostCtrl Androidウイルスハッカーのオペレーターは、組み込み機能を利用して、ハッカーに送信できるカメラを使用して、組み込みのマイクからのオーディオとビデオを録音できます。. 非常に強力なスパイおよび監視ツールとしてAndroidウイルスを利用することが可能です.

これまでのところ、GhostCtrlAndroidウイルスの3つの異なるバージョンが特定されています. それらのすべてには、感染したホストに侵入して制御を引き継ぐことができるOmniRATと呼ばれるマルチプラットフォームマルウェアに由来するソースコードが含まれています. 戻って 2015 グローバルな攻撃キャンペーンで開始されたとき、最も人気のあるオペレーティングシステムとデバイスをサポートしていました: マイクロソフトウィンドウズ, Mac OS X, AndroidおよびGnu/Linuxディストリビューション.

その起源を推測する2つの可能なシナリオがあります:

1. GhostCtrl OmniRATのオーバーホールバージョンです. 戻って 2015 マルウェアが検出されたとき、世界中のハッカーがそれを使用してモバイルデバイスとデスクトップデバイスの両方に感染しました. 感染の主な要因の1つである低価格のサブスクリプションパッケージとして、ハッカーの地下市場で入手可能でした。.
2. のハッカーオペレーターが GhostCtrl いくつかのトロイの木馬とウイルスのソースコードが組み込まれています. 検出されたOmniRATコードは、コードの一部にすぎない可能性があります.

GhostCtrl Androidウイルスは、OmniRATマルウェアの反復としてセキュリティレポートに記載されています. 親のようにGhostCtrlは “サービス”, コンピュータハッカーが自由に設定を構成できるようにする. 感染が発生すると、監視モジュールがすぐに開始されます.

GhostCtrl Androidウイルスには、感染と動作のパターンが異なる3つの異なるバージョンがあります。.

The 最初のバージョン 感染したマシンの管理者権限をすぐに取得することを目的としています. A 2番目のバージョン マルウェアが削除されるまで、感染したデバイスとの通常の対話を効果的に防止するロックスクリーンインスタンスを導入します. すべてのアカウントのパスワードリセットをサポートしています, カメラの乗っ取りとスケジューリングタスクの設定. ハッカーは、組み込み関数を使用してさまざまなデータ盗用を実行することもできます.

The 3番目のGhostCtrlAndroidウイルスバージョン コードを難読化し、偽の著作権を組み込むことで、ほとんどのアンチウイルス検出エンジンから身を隠すことができます。. 最初の感染時に、文字列コマンドとパッケージのいくつかのレイヤーを使用して、検出を回避します.

GhostCtrlAndroidウイルス機能

最初のGhostCtrlAndroidウイルス感染が行われると、組み込みエンジンがバックグラウンドで実行されるサービスプロセスを自動的に起動します. これは、明らかなユーザーの操作がなくても、危険なプロセスが常に機能していることを意味します. アプリケーション自体がシステムプロセスとしてマスクされ、それがソフトウェア名に反映されます–ひずみによっては、 com.android.engine または同様のもの.

エンジンが実行する次のステップは、リモートコマンドアンドコントロールに接続することです (C&C) ハッカーオペレーターに感染を報告するサーバー. ウイルスが直接IPアドレスではなくドメインに接続することに注意するのは興味深いことです。これは、検出を回避するために使用される高度な戦術です。. これまでにキャプチャされたサンプルは、4つのアドレスへの接続の試みを示しています:

• hef–klife[.]ddns[.]ネット
• f–klife[.]ddns[.]ネット
• php[.]no-ip[.]ビズ
• ayalove[.]no-ip[.]ビズ

犯罪者は、ObjectDATAコマンドを使用してアクションを実行できます, これは、感染したデバイスを制御する最も柔軟な方法の1つを提供します.

他の同様のマルウェアは、コマンドクエリを送信することによって制御されるスクリプトまたはシェルコマンドを使用します. アクションコードを使用すると、柔軟な入力が可能になります. 例としては次のものがあります:

• Wi-Fi状態制御
• ユーザーインターフェイスモードの変更
• 振動機能, パターンの制御と操作
• ハッカーが指定したソースからのファイルとマルチメディアのダウンロード
• ファイル操作 (名前の変更, データの名前変更, ユーザーファイルとシステムファイルの削除), ハッカーへの転送だけでなく
• ハッカーが提供した番号へのSMS/MMSメッセージの送信
• ブラウザハイジャック–Cookieを盗む, 閲覧履歴, フォームデータ, 保存されたパスワードとアカウントのクレデンシャル
• インストールされているシステムとユーザー設定の操作
• リアルタイムでユーザーの活動をスパイする

セキュリティ研究者は、GhostCtrl Androidウイルスは、スパイ機能に関して最も広範なウイルスの1つであると述べています。. エンジンは、事実上すべての種類の機密情報を収集して送信することができます. 他のAndroid情報スティーラーと比較しても、その可能性は非常に広大です.

ウイルスエンジンは、保存されているすべてのデータを監視および盗むことができるだけではありません。, さまざまなデータソースからのメッセージを監視および傍受できます: SMS, MMS, 電力状態, さまざまなメッセンジャーアカウント, ソーシャルネットワーク, センサーデータ, カメラなど. 最も危険な可能性のあるアクションの1つは、感染したデバイスからのオーディオとビデオを記録し、それをハッカーにリアルタイムで送信することです。.

GhostCtrl Androidウイルスは、犯罪者へのすべてのデータストリームを暗号化し、管理者が悪意のあるドメインとCを知らない場合、ネットワークトラフィック分析を使用した検出を妨げます。&Cサーバーアドレス.

7月 24 更新–今後のGhostCtrlランサムウェアが期待されます

コードの将来の更新により、GhostCtrlランサムウェア株が生成される可能性があります. 専門家は、このような高度なウイルスは、恐喝ツールを作成するために簡単に調整およびさらに改善できると推測しています。. ランサムウェアの戦術を組み込むことにより、犯罪者は被害者からより多くの利益を簡単に得ることができます.

Androidランサムウェアは、コンピューターのバージョンと同じように機能します。システムと個人データを対象としています。, 強力な暗号を使用して暗号化し、重要な設定を変更します. 更新されたAndroidウイルスのほとんどは、ウイルスがデバイスから完全に削除されるまで通常のコンピューターの相互作用を防ぐロックスクリーンインスタンスを採用しています. また、ユーザーとシステムのコマンドをリアルタイムで分析することにより、手動での回復の試みを防ぎます. Androidデバイス用のGhostCtrlランサムウェアは、今シーズン、さらには今年の最大の脅威の1つになる可能性があります.

GhostCtrlAndroidウイルス感染方法

Androidユーザーは、ハッカーオペレーターが現在採用しているいくつかの拡散戦術の犠牲になることで、GhostCtrlに感染する可能性があります。:

• 犯罪者は、合法的な人気のあるアプリケーションやゲームを装った偽のリストをGooglePlayストアやその他のリポジトリに設定しました. リストにはキャンディークラッシュサガが含まれています, ポケモンGO, WhatsAppなど
• 他の感染源には、ハッカーによって制御され、APKインストールファイルを許可する偽のダウンロードポータルが含まれます “サイドローディング”. これは、ソフトウェアをダウンロードしてインストールする方法です。 (通常は海賊版) GooglePlayストア以外のインターネットサイトから.
• マルウェア, Webリダイレクトやその他の危険も、GhostCtrlAndroidウイルス感染の成功につながる可能性があります.

モバイルユーザーが適切なセキュリティガイドラインに従わない場合、GhostCtrlAndroidウイルス感染から防御することは困難です。. Androidユーザーは、ウイルスエンジンがそれ自体を注入し、システムプロセスになりすますことができるため、アクティブな感染を除去することは困難であると警告されます。. これが、マルウェアのインストールを防ぐために適切な対策を講じる必要がある理由です。.

最も重要な対策の1つには、システムとユーザーがインストールしたアプリケーションの定期的な更新が含まれます. 新しいソフトウェアをインストールするとき、ユーザーはユーザーのコメントと要求された特権を確認する必要があります, 異常なリクエストはすべて無視して禁止する必要があります. 企業環境で作業している場合、企業管理者は追加の保護を実施できます–ファイアウォール, ブラックリストおよびその他の措置.

モバイルのウイルス対策およびスパイウェア対策ソリューションを使用して、感染の可能性を防ぐことができます.