Os engenheiros de segurança identificaram a família de vírus GhostCtrl Android que pode espionar os usuários o tempo todo. O código malicioso contém um módulo de vigilância completo que pode gravar e transmitir áudio, vídeo, capturas de tela e outros dados confidenciais das máquinas da vítima.
Vírus GhostCtrl Android – Uma ferramenta poderosa de espionagem
GhostCtrl Android Virus foi descoberto recentemente como parte de uma investigação de segurança. Os hackers por trás do malware ainda não são conhecidos - pode ser uma pessoa individual ou um coletivo criminoso. O ataque detectado foi investigado e os relatórios de acompanhamento mostram os recursos da família de vírus GhostCtrl Android.
A campanha de ataque é direcionada a usuários móveis em todo o mundo e existem várias versões do malware disponíveis. É muito provável que o vírus esteja em desenvolvimento por um longo tempo e testado em diferentes dispositivos, pois os relatórios de segurança indicam que ele contém muitos recursos potentes. Entre eles está o módulo completo de vigilância.
Os operadores de hackers de vírus GhostCtrl Android podem utilizar as funções integradas para gravar áudio do microfone e vídeo integrados usando as câmeras que podem ser transmitidas aos hackers. É possível utilizar o vírus Android como uma ferramenta de espionagem e vigilância muito poderosa.
Visão geral técnica do GhostCtrl Android Virus
Até agora, três versões distintas do GhostCtrl Android Virus foram identificadas. Todos eles contêm código-fonte originado de um malware multiplataforma chamado OmniRAT, que é capaz de se infiltrar e assumir o controle dos hosts infectados. Back in 2015 quando foi lançado em uma campanha de ataque global, suportou os sistemas operacionais e dispositivos mais populares: Microsoft Windows, Mac OS X, Distribuições Android e Gnu / Linux.
Existem dois cenários possíveis que especulam suas origens:
- GhostCtrl é uma versão revisada do OmniRAT. Back in 2015 quando o malware foi detectado, hackers de todo o mundo o usaram para infectar dispositivos móveis e desktop. Estava disponível nos mercados clandestinos de hackers como um pacote de assinatura por um preço baixo, o que era um dos principais fatores de infecções.
- É possível que os operadores de hackers de GhostCtrl incorporaram o código-fonte de vários Trojans e vírus. O código OmniRAT detectado pode ser apenas uma parte do código.
O vírus GhostCtrl Android é descrito nos relatórios de segurança como uma iteração do malware OmniRAT. Como seu pai, o GhostCtrl é operado como um “serviço”, permitindo que os hackers de computador definam suas configurações à vontade. Assim que as infecções forem feitas, o módulo de vigilância é iniciado imediatamente.
Existem três versões distintas do vírus GhostCtrl Android que apresentam diferentes padrões de infecção e comportamento.
o primeira versão visa obter privilégios de administrador imediatamente nas máquinas infectadas. UMA segunda versão apresenta uma instância de bloqueio de tela que evita efetivamente a interação comum com os dispositivos infectados até que o malware seja removido. Suporta redefinição de senha de todas as contas, sequestro de câmera e configuração de tarefas de agendamento. Os hackers também podem executar vários roubos de dados usando as funções integradas.
o terceira versão do vírus GhostCtrl Android é capaz de se esconder da maioria dos mecanismos de detecção de antivírus ofuscando seu código e incorporando direitos autorais falsos. Durante as infecções iniciais, ele usa várias camadas de comandos de string e pacotes para evitar a detecção.
Recursos do GhostCtrl Android Virus
Depois que a infecção inicial do vírus GhostCtrl Android é feita, o mecanismo integrado inicia automaticamente um processo de serviço que é executado em segundo plano. Isso significa que, sem qualquer interação aparente do usuário, os processos perigosos estão funcionando o tempo todo. O próprio aplicativo se mascara como um processo do sistema e isso se reflete no nome do software - dependendo da tensão que pode ser com.android.engine ou algo semelhante.
A próxima etapa que o motor executa é entrar em contato com o comando e controle remoto (C&C) servidores para relatar a infecção aos operadores de hackers. É interessante notar que os vírus se conectam a um domínio em vez de um endereço IP direto - esta é uma tática avançada usada para evitar a detecção. As amostras capturadas até agora mostram tentativas de conexão para quatro endereços:
- hef - klife[.]ddns[.]líquido
- f – klife[.]ddns[.]líquido
- php[.]no-ip[.]biz
- Ayalove[.]no-ip[.]biz
Os operadores criminosos são capazes de executar ações usando comandos Object DATA, isso fornece uma das maneiras mais flexíveis de controlar os dispositivos infectados.
Outros malwares semelhantes usam scripts ou comandos de shell que são controlados pelo envio de consultas de comando. O uso de códigos de ação permite uma entrada flexível. Exemplos incluem o seguinte:
- Controle de estado de Wi-Fi
- Mudanças no modo de interface do usuário
- Função de vibração, controle e manipulação de padrões
- Download de arquivos e multimídia de fontes especificadas por hackers
- Manipulação de arquivos (modificando nomes, renomeando dados, deletar arquivos de usuário e sistema), bem como transferência para os hackers
- Envio de mensagens SMS / MMS para números fornecidos por hackers
- Roubo de navegador - roubo de cookies, histórico de navegação, dados do formulário, senha armazenada e credenciais da conta
- Manipulação do sistema instalado e configurações do usuário
- Espiar a atividade dos usuários em tempo real
Os pesquisadores de segurança observam que o vírus GhostCtrl Android é um dos mais abrangentes quando se trata de recursos de espionagem. O mecanismo é capaz de coletar e transmitir praticamente todos os tipos de informações confidenciais. Mesmo em comparação com outros ladrões de informações do Android, seu potencial é muito amplo.
Não é apenas o mecanismo de vírus capaz de monitorar e roubar todos os dados armazenados, pode monitorar e interceptar mensagens de diferentes fontes de dados: SMS, MMS, estados de poder, várias contas de mensageiro, redes sociais, dados do sensor, câmera e etc. Uma das ações mais perigosas possíveis é a gravação de áudio e vídeo do dispositivo infectado e transmiti-lo em tempo real para os hackers.
O vírus GhostCtrl Android criptografa todos os fluxos de dados para os criminosos, o que impede a detecção usando a análise de tráfego de rede se os administradores não conhecerem os domínios maliciosos e C&Endereços do servidor C.
Julho 24 Atualização - próximo GhostCtrl Ransomware esperado
É possível que futuras atualizações do código produzam uma cepa de ransomware GhostCtrl. Os especialistas especulam que esses vírus avançados podem ser facilmente ajustados e melhorados para produzir as ferramentas de extorsão. Ao incorporar táticas de ransomware, os operadores criminosos podem facilmente lucrar muito mais com as vítimas.
O ramsomware Android funciona da mesma maneira que as versões para computador - eles direcionam dados pessoais e do sistema, criptografe-o usando uma cifra forte e modifique as configurações essenciais. A maioria dos vírus Android atualizados emprega instâncias de tela de bloqueio que impedem a interação normal do computador até que o vírus seja completamente removido dos dispositivos. Eles também evitam tentativas de recuperação manual, analisando os comandos do usuário e do sistema em tempo real. Um ransomware GhostCtrl para dispositivos Android pode se tornar uma das principais ameaças desta temporada ou mesmo do ano.
Métodos de infecção por vírus Android do GhostCtrl
Os usuários do Android podem ser infectados com o GhostCtrl ao serem vítimas de várias das táticas de disseminação atualmente empregadas pelos operadores de hackers:
- Os criminosos criaram listagens falsas na Google Play Store e outros repositórios que se apresentam como aplicativos e jogos populares legítimos. A lista inclui Candy Crush Saga, Pokemonn GO, WhatsApp e outros
- Outras fontes de infecção incluem portais de download falsos que são controlados por hackers e permitem a instalação de arquivos APK para “Carregamento lateral”. Esta é a prática de baixar e instalar software (geralmente cópias piratas) de sites da Internet que não sejam a Google Play Store.
- Malware, redirecionamentos da Web e outros perigos também podem levar a uma infecção bem-sucedida pelo vírus GhostCtrl Android.
Prevenção de infecção de vírus GhostCtrl Android
É difícil se defender contra infecções por vírus GhostCtrl Android se os usuários móveis não seguirem as boas diretrizes de segurança. Os usuários do Android são avisados de que é difícil remover infecções ativas, pois o mecanismo de vírus é capaz de se injetar e se disfarçar como processos do sistema. Esta é a razão pela qual devem ser tomadas medidas adequadas para prevenir instalações de malware.
Uma das medidas mais importantes inclui a atualização regular do sistema e dos aplicativos instalados pelo usuário. Ao instalar um novo software, os usuários precisam verificar os comentários do usuário e os privilégios solicitados, todas as solicitações incomuns precisam ser ignoradas e proibidas. Se estiver trabalhando em um ambiente corporativo, os administradores corporativos podem aplicar proteção adicional - firewalls, listas negras e outras medidas.
As soluções de antivírus e anti-spyware móveis podem ser usadas para a defesa contra possíveis infecções.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: