这款安卓后门GhostCtrl可能是“史上功能最多”的后门

这个世界上从来都不缺Android恶意软件,但我们却很少能够遇到像GhostCtrl后门这种功能如此之多的Android安全威胁。

根据趋势科技的研究人员透露的信息,这款恶意软件已经更新到了第三代版本,并且最新版还添加了很多特殊的功能,比如说它不仅可以窃取任何种类的信息,而且还允许攻击者完全接管目标设备。更重要的是,它还能够做到其他各种非常有意思的事情。可以说是只有你想不到,没有它做不到的。

下图位GhostCtrl v3版本中 resources.arsc文件的分析截图,这表明它是一个OmniRAT变种:

GhostCtrl后门的功能

GhostCtrl后门基于多平台OmniRAT,它在暗网市场上的售价约为75。

它的C&C通信是经过加密的,它所接收到的控制命令中包含活动代码以及DATA对象,这将允许攻击者指定攻击目标以及活动内容,所以对于网络犯罪分子来说,GhostCtrl是一款非常灵活的高度定制化恶意软件。

攻击者可以通过发送远程命令来实时监控目标手机的传感器数据、下载图片并将其设为壁纸、上传某个文件至C&C服务器、给指定号码发送定制化的SMS/MMS消息、以及控制目标手机下载特定文件等等。除此之外,GhostCtrl还可以完成以下几种比较特别的任务: 1. 控制系统的红外发射器; 2. 悄悄录制视频或音频信息; 3. 使用文本转语音功能; 4. 重置某账号的密码,账号可由攻击者指定; 5. 让目标手机播放不同的音效; 6. 终止正在进行的通话; 7. 利用目标设备的蓝牙连接至另外一台设备;

GhostCtrl可以窃取各种有价值的信息,例如:通话记录、手机短信、联系人、电话号码、照片、SIM序列号、定位数据、Android操作系统版本、用户名、Wi-Fi、电池信息、蓝牙、传感器数据、浏览器数据、手机运行的服务进程和壁纸等等。

GhostCtrl如何隐藏自己?

GhostCtrl会将自己伪装成一个合法的热门应用(例如WhatsApp和Pokémon GO)来避免被目标用户发现。

研究人员表示:”当App启动之后,它会对源文件中的一个字符串进行Base64解码,然后得到一个恶意APK文件,随后便会要求用户进行安装。不过,即使用户点击了安装窗口中的取消按钮,该窗口仍然会立即再次弹出。完成了安装之后,APK将会启动一项服务,并让恶意软件的主程序在后台运行。”

GhostCtrl不会在手机桌面上显示图标,而主要的后门功能APK包名为com.android.engine,一般用户都会认为这是一个合法的系统应用,所以不会引起任何的怀疑。除此之外,最新版的GhostCtrl v3还使用了混淆技术来掩盖其恶意活动。值得注意的是,GhostCtrl后门还可以配合Windows平台下的信息窃取型蠕虫RETADUP来实施攻击。

随着移动设备的普及范围越来越广,GhostCtrl的影响范围肯定还会进一步扩大。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-07-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CSDN技术头条

说实话,分布式系统的复杂度远大于它的好处

最近,有一位酷酷的程序员小哥(由网站头像可得)在Hacker Noon网上发表了一篇名为《全面解析分布式系统》的文章。和以往烂大街的分布式教程不太一样,这位小哥...

16120
来自专栏pangguoming

比较全的OA系统功能模块列表

如何判断一款协同OA软件,是否智能,是否注重细节,是否足够成熟呢?产品的设计优势、功能特性,需要我们总结,也需要让更多的用户了解。功能到底强在哪里?下文中将给出...

1.9K90
来自专栏编程坑太多

『高级篇』docker之springboot,springcloud(八)

PS:下面我们一步一步spring cloud+spring boot创建的微服务,部署在服务编排框架上。

34920
来自专栏程序你好

如何保证你的智能手机安全和私密,手机安全需要做到的事

近十年以来,智能手机的应用越来广泛,各种流行的App层出不穷,可以说iPhone这样的智能手机已经彻底改变了我们的生活和行为习惯。请允许我指出一个显而易见的事实...

12020
来自专栏FreeBuf

使用Maltego进行互联网情报收集(入门篇)

Maltego是一款十分适合渗透测试人员和取证分析人员的优秀工具,其主要功能是开源情报收集和取证。 比起其它的情报收集工具,Maltego显得格外不同并且功能强...

71870
来自专栏纯洁的微笑

历时25天,我的博客(www.ityouknow.com)终于又活了过来

21630
来自专栏北京马哥教育

我的linux运维日记,比较下学习与工作。

从事运维一年半,遇到过各式各样的问题,数据丢失,网站挂马,误删数据库文件,黑客攻击等各类问题,今天想简单整理一下,主要有以下几点: 1.线上操作规范 测试使用 ...

37470
来自专栏java一日一条

采用断路器设计模式来保护软件

程序员的人生就像在一个快车道上行驶。几周甚至几小时完成某些特性编码,打包测试没有问题,盖上QA认证,代码部署到生产环境。然而最坏的事情发生了,你所部署的软件在运...

10120
来自专栏北京马哥教育

服务好“最后一公里”,高效CDN架构经验

国内,随着互联网的高速发展,因为各大通信公司的政策,造成了南电信北联通互通有局限性,再加上大小且质量参差不齐的运营商,在这特殊的氛围的互联互通下号称“八线合一”...

54750
来自专栏云计算D1net

云应用程序性能管理的四大金刚

应用程序一旦迁移到了云端,管理起来就变得更困难重重了。云应用程序性能管理和性能监控工具则可以帮助识别瓶颈及其他性能度量指标。 优秀的工具有助于确定是否可以将瓶颈...

31940

扫码关注云+社区

领取腾讯云代金券