Beveiligingstechnici identificeerde de GhostCtrl Android virus familie die het vermogen om te bespioneren de gebruiker heeft te allen tijde. De kwaadaardige code bevat een volledig uitgeruste surveillance module die kan opnemen en doorgeven audio, video-, schermafbeeldingen en andere gevoelige gegevens van de getroffen machines.
GhostCtrl Android Virus – Een krachtige spionage
GhostCtrl Android Virus werd onlangs ontdekt in het kader van een veiligheidsonderzoek. De hackers achter de malware zijn nog niet bekend - het kan een individuele persoon of een crimineel collectieve zijn. De gedetecteerde aanval zijn onderzocht en de follow-up rapporten showcase van de kenmerken van de GhostCtrl Android virus familie.
De aanval campagne is gericht op mobiele gebruikers over de hele wereld en er zijn verschillende versies van de beschikbare malware. Het is zeer waarschijnlijk dat het virus in ontwikkeling is voor een lange tijd en getest op verschillende apparaten zoals de security rapporten geven aan dat het bevat veel krachtige aanbevolen. Onder hen is de complete surveillance module.
GhostCtrl Android virus hacker operators kunnen de ingebouwde functies maken gebruik van audio van de ingebouwde microfoon en video op te nemen met behulp van de camera's die aan de hackers kan worden overgedragen. Het is mogelijk om de Android-virus te gebruiken als een zeer krachtige spionage en surveillance tool.
GhostCtrl Android Virus Technisch overzicht
Tot nu toe zijn drie verschillende versies van de GhostCtrl Android Virus zijn geïdentificeerd. Allemaal bevatten broncode die afkomstig is van een multi-platform malware genaamd OmniRAT dat in staat is om te infiltreren en de overname van de controle over de geïnfecteerde gastheren. Terug in 2015 toen het in een wereldwijde aanval campagne werd gelanceerd ondersteund de meest populaire besturingssystemen en apparaten: Microsoft Windows, Mac OS X, Android en Gnu / Linux distributies.
Er zijn twee mogelijke scenario dat zijn oorsprong speculeren:
- GhostCtrl is een gereviseerde versie van OmniRAT. Terug in 2015 toen de malware werd ontdekt hackers uit de hele wereld gebruikt om zowel mobiele en desktop-apparaten te infecteren. Het was beschikbaar op de hacker underground markten als een abonnement voor een lage prijs, die één van de belangrijkste factoren van de infecties was.
- Het is mogelijk dat de hacker exploitanten van GhostCtrl hebben opgenomen broncode van een aantal Trojaanse paarden en virussen. De gedetecteerde OmniRAT code kan alleen maar slechts een deel van de code.
De GhostCtrl Android virus is beschreven in het beveiligingsrapporten als iteratie van de OmniRAT malware. Zoals de bovenliggende GhostCtrl werkt als “service”, waardoor de computer hackers om de instellingen te configureren naar believen. Zodra de infecties zijn gemaakt het toezicht module wordt onmiddellijk gestart.
Er zijn drie verschillende versies van de GhostCtrl Android virus dat verschillende infectie en gedragspatronen beschikken.
Het eerste versie is bedoeld om onmiddellijk te krijgen beheerdersrechten op de geïnfecteerde machines. Een tweede versie introduceert een lockscreen exemplaar dat effectief voorkomt gewone interactie met de besmette inrichtingen totdat de malware wordt verwijderd. Het ondersteunt wachtwoord resetten van alle accounts, camera hijacking en het opzetten van het plannen van taken. De hackers kunnen verschillende stelen van gegevens via de ingebouwde functies uitvoeren.
Het derde GhostCtrl Android-virus-versie is in staat om zich te verbergen voor de meeste anti-virus detectie van motoren door het verdoezelen de code en de integratie van nep copyright. Tijdens de initiële infecties gebruikt het aantal lagen touw commando's en naar detectie te vermijden.
GhostCtrl Android Virus Capabilities
Zodra de eerste GhostCtrl Android virusinfectie is gemaakt van de ingebouwde motor start automatisch een dienst proces dat draait op de achtergrond. Dit betekent dat zonder duidelijke interactie van de gebruiker de gevaarlijke processen werken te allen tijde. De toepassing zelf maskers als een systeem proces dat wordt weerspiegeld in de softwarenaam - afhankelijk van de stam kan worden com.android.engine of iets dergelijks.
De volgende stap die de motor uitvoert is om contact commando en besturing op afstand (C&C) servers om de infectie te melden aan de hacker operators. Het is interessant om op te merken dat de virussen te sluiten op een domein in plaats van een directe IP-adres - dit is een geavanceerde tactiek die wordt gebruikt om detectie te vermijden. De gemaakte monsters tot nu toe presenteren verbinding pogingen tot vier adressen:
- I-klife[.]ddns[.]netto
- f-klife[.]ddns[.]netto
- php[.]no-ip[.]biz
- ayalove[.]no-ip[.]biz
De strafrechtelijke operators in staat zijn om acties uit te voeren met behulp van Object DATA commando's, Dit levert een van de meest flexibele manier van besturen van de besmette apparaten.
Andere soortgelijke scripts malware gebruik of shell-commando's die worden gecontroleerd door het verzenden van commmand queries. Het gebruik van actiecodes maakt een soepele invoer. Voorbeelden omvatten de volgende:
- controle Wi-Fi-status
- User Interface modus verandert
- trilfunctie, patroonregelinrichting en manipulatie
- Het downloaden van bestanden en multimedia uit-hacker bepaalde bronnen
- files manipulatie (het wijzigen van namen, hernoemen van data, het verwijderen van gebruikers- en systeembestanden), evenals de overdracht naar de hackers
- Het versturen van SMS / MMS-berichten naar-hacker voorzien nummers
- Browserhack - het stelen van cookies, browsegeschiedenis, formuliergegevens, opgeslagen wachtwoord en accountgegevens
- Manipulatie van geïnstalleerde systeem en gebruikersinstellingen
- Bespioneren van de gebruikers in real-time
De security onderzoekers constateren dat de GhostCtrl Android-virus is een van de meest uitgebreide als het gaat om spionage mogelijkheden. De motor is in staat om het verzamelen en doorgeven vrijwel alle soorten van gevoelige informatie. Zelfs in vergelijking met andere Android-informatie dieven het potentieel is zeer expansief.
Niet alleen is het virus engine in staat om de controle en het stelen van alle opgeslagen data, het kan controleren en onderscheppen berichten van verschillende databronnen: SMS, MMS, energiestatus, verschillende messenger accounts, sociale netwerken, sensordata, camera enz. Een van de meest gevaarlijke mogelijke acties is het opnemen van audio en video van de geïnfecteerde toestel en het verzenden van deze in real-time naar de hackers.
De GhostCtrl Android virus codeert alle datastromen criminelen die detectie hindert behulp netwerkverkeer analyseren als de beheerders niet kwaadaardige domeinen en C bekend&C server adressen.
Juli 24 Update - Aankomende GhostCtrl Ransomware Verwachte
Het is possibble dat toekomstige updates van de code а GhostCtrl ransomware stam kan produceren. Experts speculeren dat deze voorschotten virussen gemakkelijk kan worden getweakt en verder verbeterd om de afpersing instrumenten produceren. Door de integratie van ransomware tactiek kan de criminele exploitanten gemakkelijk veel meer winst uit de slachtoffers.
Android ransomware werken op dezelfde manier als de computer versies - ze gericht systeem en persoonlijke gegevens, versleutelen met behulp van een sterke cipher en essentiële instellingen te wijzigen. Het merendeel van de bijgewerkte Android-virussen in dienst lockscreen gevallen dat de gewone computer interactie te voorkomen totdat het virus volledig van de apparaten wordt verwijderd. Ze voorkomen ook handmatig herstel pogingen door het analyseren van de gebruiker en het systeem commando's in real time. Een GhostCtrl ransomware voor Android-apparaten kunnen uitgegroeid tot een van de meest voorkomende bedreigingen voor dit seizoen of zelfs het jaar.
GhostCtrl Android virusinfectie Methods
Android-gebruikers kunnen besmet raken met de GhostCtrl door het slachtoffer te worden een aantal van de verspreiding tactiek momenteel door de hacker operators:
- De criminelen hebben opgezet valse vermeldingen in de Google Play Store en andere repositories dat als legitieme populaire applicaties en games vormen. De lijst bevat Candy Crush Saga, Pokemonn GO, WhatsApp en anderen
- Andere infectie bronnen zijn onder valse downloaden portals die worden gecontroleerd door de hackers en laat APK installatiebestanden voor “sideloading”. Dit is de praktijk van het downloaden en installeren van software (meestal illegale kopieën) uit andere bronnen dan de Google Play Store internetsites.
- Malware, web omleidingen en andere gevaren kan ook leiden tot een succesvolle GhostCtrl Android virusinfectie.
GhostCtrl Android Virus Infectiepreventie
Het is moeilijk te verdedigen tegen GhostCtrl Android virusinfecties als de mobiele gebruikers niet richtlijnen voor goede beveiliging te volgen. Android-gebruikers worden gewaarschuwd dat het moeilijk is om actieve infecties te verwijderen als het virus engine in staat is zichzelf te injecteren en vermomd als systeem verwerkt is. Dit is de reden waarom de passende maatregelen moeten worden genomen om malware installaties te voorkomen.
Een van de belangrijkste maatregelen omvatten regelmatig bijwerken van het systeem en de gebruiker geïnstalleerde toepassingen. Bij het installeren van nieuwe software de gebruikers nodig hebben om de gebruiker opmerkingen en verzocht privileges controleren, alle ongebruikelijke verzoeken moeten worden genegeerd en afgewezen. Als het werken in een bedrijfsomgeving zakelijke beheerders kunnen extra bescherming af te dwingen - firewalls, zwarte lijsten en andere maatregelen.
Mobile anti-virus en anti-spyware oplossingen kunnen worden gebruikt om te verdedigen tegen mogelijke infecties.