GhostCtrl被發(fā)現(xiàn)有3個(gè)版本,第一代竊取信息并控制一些設(shè)備的功能,第二代增加了更多的功能來(lái)劫持設(shè)備,第三代結(jié)合了早期的版本特性,功能更加強(qiáng)大,黑客可以完全控制設(shè)備,并訪(fǎng)問(wèn)和傳輸本地存儲(chǔ)的任何數(shù)據(jù)的權(quán)利。

 


 

惡魔般的GhostCtrl 

GhostCtrl實(shí)際上是在2015年底被發(fā)現(xiàn)OmniRAT的一個(gè)變種。OmniRAT是一款非常流行的遠(yuǎn)程控制工具,它的終身許可證服務(wù)以及客戶(hù)端服務(wù)僅售25美金和50美金,并且運(yùn)營(yíng)商還提供終身維護(hù)服務(wù)。OmniRAT可以通過(guò)Android設(shè)備上的一個(gè)按鈕遠(yuǎn)程控制Windows,Linux和Mac系統(tǒng)。

 

該惡意軟件會(huì)偽裝成一個(gè)合法或流行的應(yīng)用程序,它會(huì)命名為APP,彩信,WhatsApp,甚至是Pokemon GO。當(dāng)它啟動(dòng)時(shí),看上去它和正常的APP一樣,但是實(shí)際上惡意軟件已隱秘的保存于設(shè)備中。

 

當(dāng)用戶(hù)點(diǎn)擊偽裝APK后,它會(huì)要求用戶(hù)執(zhí)行安裝。用戶(hù)很難逃過(guò)一劫,即使用戶(hù)取消安裝提示,該提示仍然會(huì)立即彈出。該惡意APK沒(méi)有圖標(biāo),一旦安裝,惡意程序會(huì)立即在后臺(tái)運(yùn)行。

 

該惡意軟件的后門(mén)被命名為com.android.engine,目的是誤導(dǎo)用戶(hù)認(rèn)為它是一個(gè)合法的系統(tǒng)應(yīng)用。它將連接到C&C服務(wù)器并檢索3176端口的指令。

 

該惡意軟件允許黑客從一個(gè)被感染的設(shè)備中竊取幾乎任何東西,包括通話(huà)記錄、短信記錄、聯(lián)系人、電話(huà)號(hào)碼、sim序列號(hào)、位置和瀏覽器書(shū)簽。此外,它還可以從攝像機(jī)、運(yùn)行進(jìn)程甚至墻紙中獲取數(shù)據(jù)。最糟糕的是,黑客可以啟動(dòng)攝像機(jī)或錄制音頻,然后將內(nèi)容上傳到服務(wù)器,所有的數(shù)據(jù)都在該過(guò)程中加密。


惡意軟件作者還可以向受感染的手機(jī)發(fā)送命令,以執(zhí)行更特殊的任務(wù),如重新設(shè)置已配置帳戶(hù)的密碼或使手機(jī)播放不同的聲音效果。


正如遇到的其他惡意軟件,避免下載不受信任的來(lái)源的應(yīng)用程序是最好的防護(hù)手段

 

-----------------------------------------

* 本文阿里聚安全編譯,原文地址:http://news.softpedia.com/news/android-backdoor-ghostctrl-can-steal-everything-from-a-phone-spy-on-users-517015.shtml

更多安全資訊及知識(shí)分享,請(qǐng)關(guān)注阿里聚安全的官方博客

http://www.cnblogs.com/alisecurity/p/7206616.html