GhostCtrl: o malware que transforma o celular em espião





O worm RETADUP que afetou os hospitais israelenses é realmente apenas parte de um ataque muito maior do que aparenta - pelo menos em termos de impacto. Detectado pela Trend Micro como ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA, ele foi nomeado como GhostCtrl, pois pode controlar furtivamente muitas das funcionalidades do dispositivo infectado.

Existem três versões do GhostCtrl. O primeiro rouba informações e controla algumas das funcionalidades do dispositivo, enquanto a segunda versão pode sequestrar mais recursos do dispositivo. A terceira interação combina o melhor dos recursos das versões anteriores e com base nas técnicas empregadas, deve evoluir ainda mais.

O GhostCtrl, reforça a Trend Micro, especializada em segurança da Informação, é também uma variante (ou pelo menos baseada) na multiplataforma OmniRAT, vendida comercialmente, que se tornou manchete em novembro de 2015. Ele se vende como um produto que pode controlar remotamente sistemas Windows, Linux e Mac com o toque do botão de um dispositivo Android - e vice-versa.

Uma licença vitalícia para um pacote OmniRAT custa entre US$25 e US$75. Previsivelmente, há vários tutoriais de cracking do OmniRAT nos fóruns clandestinos, e alguns de seus membros até oferecem patches virtuais. Na verdade, há um forte indicativo que prova que o APK malicioso é um spinoff do OmniRAT. Levando em conta que ele é um RAT como um serviço, isso pode ser modificado (ou removido) durante a compilação.

Os especialistas informam ainda que o malware se passa por um aplicativo legítimo ou popular que usa nomes como App, MMS, WhatsApp e até mesmo o Pokémon GO. Quando o aplicativo é iniciado, a base64 decodifica a string do arquivo de recursos e a escreve, o que, na verdade, é o Pacote de Aplicativos do Android (APK) na versão maliciosa.

O APK malicioso, depois de clicado dinamicamente por uma APK wrapper, pedirá ao usuário para instalá-lo. Segundo a Trend Micro, evitar isso é muito complicado: mesmo que o usuário cancele o prompt "pedido de instalação", a mensagem ainda assim será exibida imediatamente. O APK malicioso não possui um ícone e, após instalado, vai iniciar um serviço que permite que o APK malicioso principal seja executado no background.

Os comandos de C&C do servidor são criptografados e decodificados localmente pelo APK após o recebimento. Curiosamente, a Trend Micro descobriu que o backdoor se conecta a um domínio em vez de se conectar diretamente ao endereço IP do servidor C&C. Isso pode ser uma tentativa de encobrir seu tráfego. Também foram descobertos vários servidores com nomes dinâmicos (DNS), que em algum momento levaram ao mesmo endereço IP de C&C:

  • ·hef–klife[.]ddns[.]net
  • ·f–klife[.]ddns[.]net
  • ·php[.]no-ip[.]biz
  • ·ayalove[.]no-ip[.]biz


Um comando notável inclui o código de ação e Object DATA, que permite aos atacantes especificarem o alvo e o conteúdo, fazendo com que esse seja um malware muito flexível para os cibercriminosos. Este é o comando que permite que os invasores manipulem as funcionalidades do dispositivo sem o consentimento ou o conhecimento do proprietário.

Outro comando exclusivo de C&C é um comando de tipo integral, responsável por roubar os dados do dispositivo. Diferentes tipos de dados sensíveis - e, para os cibercriminosos, valiosos - serão coletados e carregados, incluindo registros de chamadas, registros de SMS, contatos, números de telefone, número de série do SIM, localização e marcadores do navegador.

O GhostCtrl rouba vários dados, em comparação com outros navegadores de informações Android. Além dos dados mencionados acima, o GhostCtrl também pode roubar informações como a versão do sistema operacional Android, nome de usuário, Wi-Fi, bateria, Bluetooth e estados de áudio, UiMode, sensor, dados da câmera, navegador e pesquisas, processos de serviço, informações de atividade e papel de parede.

Ele também pode interceptar mensagens de texto de números de telefone especificados pelo atacante. Sua capacidade mais assustadora é a habilidade de gravar de forma desapercebida a voz ou áudio e carregá-los no servidor C&C em um determinado momento. Todo o conteúdo roubado será criptografado antes de ser carregado no servidor C&C.
GhostCtrl: o malware que transforma o celular em espião GhostCtrl: o malware que transforma o celular em espião Reviewed by Daniel Nunes on 26 julho Rating: 5

Nenhum comentário

Recent in Games

Image Link [https://pbs.twimg.com/profile_images/947950678483316736/8L2OOHt5_400x400.jpg] Author Name [Escrito por Daniel Nuredo] Author Description [Empreendedor digital, palestrante, ciclista, apaixonado por marketing digital e tecnologia e fundador do JobDoDaniel - Marketing Digital ] Facebook Username [danielnuredo] Twitter Username [danielnuredo] Instagram Username [danielnuredo]