Ένα νέο Android RAT που ανιχνεύεται με το όνομα GhostCtrl μπορεί να κλειδώσει την συσκευή σας επαναφέροντας το PIN και να εμφανίσει στην οθόνη το χρηματικό ποσό που ζητείται απο τα θύματα ώστε να ξεκλειδώσει η συσκευή.
Αυτές οι δυνατότητες του ransomware έχουν παρατηρηθεί στον πηγαίο κώδικα του GhostCtrl, αλλά όχι σε πραγματικές μολύνσεις, όπου το RAT χρησιμοποιήθηκε ως επί το πλείστον για τις δυνατότητες κλοπής δεδομένων.
Το GhostCtrl RAT ανακαλύφθηκε από τους Trend Micro οι οποίοι είναι ερευνητές και σε επιθέσεις εναντίον ισραηλινών οργανισμών υγειονομικής περίθαλψης. Η καμπάνια στοχεύει πρωτίστως σε υπολογιστές Windows με RETADUP, έναν συνδυασμό με το infostealer, και το trojan backdoor.
Η ομάδα πίσω από την καμπάνια εστίασε επίσης στις συσκευές Android ατόμων που ασχολούνται με αυτούς τους οργανισμούς. Το ωφέλιμο φορτίο ήταν το GhostCtrl RAT, το οποίο, σύμφωνα με την Trend Micro, είναι μια πολύ προσαρμοσμένη έκδοση του OmniRAT, ένα RAT πολλαπλών χρήσεων και ένα από τα λίγα RAT που μπορούν να στοχεύσουν σε τέσσερα μεγάλα λειτουργικά συστήματα: Android, Linux, macOS και Windows.
Το OmniRAT είναι ένα από τα κορυφαία RAT στην αγορά και πωλείται μέσω μιας πύλης Malware-as-a-Service, επιτρέποντας σε οποιονδήποτε να συντάξει τις δικές του εκδόσεις.
Όλα τα χαρακτηριστικά του OmniRAT περιλαμβάνονται επίσης στο GhostCtrl, καθιστώντας τον τελευταίο μια επικίνδυνη και πολύ ισχυρή απειλή. Ακολουθεί μια σύνοψη των επιβεβαιωμένων χαρακτηριστικών του GhostCtrl, σύμφωνα με την παρούσα αναφορά της Trend Micro.
- Δυνατότητα να παραβιάσει μολυσμένες συσκευές Android
- Επικοινωνεί με έναν απομακρυσμένο διακομιστή C & C
- Ελέγχει την κατάσταση μέσω Wi-Fi
- Παρακολουθεί τους αισθητήρες του τηλεφώνου σε πραγματικό χρόνο
- Ρυθμίζει το UiMode του τηλεφώνου, όπως τη νυχτερινή λειτουργία
- Ελέγχει τη λειτουργία δόνησης, συμπεριλαμβανομένου του μοτίβου και πότε θα δονείται
- Καταγράφει τις πληροφορίες αρχείου στον τρέχοντα κατάλογο και τα ανεβάζει στο διακομιστή C & C
- Διαγράφει ένα αρχείο στον αναφερόμενο κατάλογο
- Μετονομάζει ένα αρχείο στον αναφερόμενο κατάλογο
- Ανεβάζει το επιθυμητό αρχείο στο διακομιστή C & C
- Λήψη αρχείου
- Λήψη εικόνων
- Δημιουργεί έναν αναφερόμενο κατάλογο
- Χρησιμοποιεί τη λειτουργία του κειμένου σε ομιλία
- Στείλνει SMS / MMS σε έναν αριθμό που καθορίζεται από τον εισβολέα
- Παρακρατάει τα μηνύματα SMS από αριθμούς τηλεφώνου που καθορίζονται από τον εισβολέα
- Διαγράφει τα SMS
- Καλεί έναν αριθμό τηλεφώνου που υποδεικνύεται από τον εισβολέα
- Καταγράφει την φωνή ή τον ήχο και, στη συνέχεια, τα ανεβάζει στο διακομιστή C & C σε μια συγκεκριμένη χρονική στιγμή
- Διαγράφει το ιστορικό του προγράμματος περιήγησης
- Ανοίγει τις εφαρμογές
- Ελέγχει τον πομπό υπερύθρων του συστήματος
- Εκτελεί μια εντολή κελύφους που καθορίζεται από τον εισβολέα και ανεβάζει το αποτέλεσμα εξόδου
- Συλλέγει αρχεία καταγραφής κλήσεων, αρχεία SMS, επαφές, αριθμούς τηλεφώνου, σειριακό αριθμό κάρτας SIM, τοποθεσία, σελιδοδείκτες του προγράμματος περιήγησης, έκδοση Android OS, όνομα χρήστη, λεπτομέρειες Wi-Fi, κατάσταση μπαταρίας, πληροφορίες Bluetooth, Δεδομένα πρόχειρου, εικόνες ταπετσαρίας, δεδομένα από την κάμερα, αισθητήρες, πρόγραμμα περιήγησης, αναζητήσεις και πολλά άλλα.
Συνολικά, το GhostCtrl είναι ένα από τα πιο εξελιγμένα Android RAT που έχουμε δει ποτέ, με χαρακτηριστικά που υποδηλώνουν ότι αυτό το κακόβουλο λογισμικό αναπτύχθηκε από φορέα με εκτεταμένη εμπειρία στην ανάπτυξη Android.
Τα τρέχοντα στοιχεία υποδεικνύουν ότι αυτή η απειλή χρησιμοποιείται για την κλοπή δεδομένων από οργανισμούς υγειονομικής περίθαλψης, είτε για πώληση σε υπόγειες αγορές είτε για εκβιασμό των παραβιασμένων ιδρυμάτων. Εάν όλα αυτά αποτυγχάνουν, η δυνατότητα εξαργύρωσης του GhostCtrl θα μπορούσε να χρησιμοποιηθεί ως μια τελευταία προσπάθεια για να αποκτήσουν χρήματα από τις παραβιασμένες συσκευές.
