Эксперты компании Trend Micro сообщили о новом Android-трояне для удаленного доступа (RAT) под названием GhostCtrl.
Помимо стандартных функций, присущих данному типу троянов, вредонос также способен блокировать мобильное устройство путем сброса PIN-кода и отображать уведомление с требованием выкупа за разблокировку.
Исследователи обнаружили функционал вымогательского ПО в коде GhostCtrl, однако троян чаще используется не для вымогательства, а для похищения данных с зараженных устройств. GhostCtrl был обнаружен во время анализа волны атак на здравоохранительные организации в Израиле. В ходе кампании злоумышленники преимущественно использовали вредоносное ПО для Windows под названием RETADUP, представляющее собой комбинацию из червя, инфостилера и бэкдора.
Кроме того, хакеры атаковали сотрудников этих организаций, заражая их мобильные устройства трояном GhostCtrl. По словам экспертов, GhostCtrl является сильно видоизмененной версией OmniRAT – многофункционального RAT, одного из немногих, способных атаковать Android, Linux, macOS и Windows. Некоторые функции OmniRAT достались «по наследству» GhostCtrl.
Помимо прочего, вредонос способен получать права суперпользователя на зараженном устройстве, контролировать датчики смартфона в режиме реального времени, удалять и переименовывать файлы в обозначенной директории, загружать файлы, загружать изображения в качестве обоев для рабочего стола, создавать директории, отправлять SMS- и MMS-сообщения на указанные злоумышленниками номера, удалять и перехватывать SMS-сообщения, удалять историю браузера, открывать приложения и т.д.
Скачайте SafeUM — общайтесь приватно, без рекламы и спама.
Axarhöfði 14,
110 Reykjavik, Iceland