Tutto ciò che occorre sapere su GhostCtrl, lo spyware-fantasma più pericoloso del web

È versatile, economico ma soprattutto capace di rubare qualsiasi informazione

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

I nostri più longevi lettori forse si ricorderanno di OmniRAT, successivamente conosciuto anche come DroidJack, un malware estremamente flessibile e capace di derubare l’utente di un grande numero di dati personali. La versione successiva dello stesso codice di sviluppo si chiama GhostCtrl e, proprio come suggerisce il nome, si tratta di uno spyware-fantasma: una minaccia reale, pericolosa, capace di infestare un device Android per mesi ma senza mai lasciare traccia, se non qualche piccolo indizio – proprio come un fantasma.

Siete pronti per scoprire tutto ciò che occorre sapere su GhostCtrl, capace di diffondersi sia su Internet che nelle principali app di chat?

Che cos'è GhostCtrl

GhostCtrl è uno spyware, e come tale punta al furto di informazioni sensibili all’interno degli smartphone infettati: solitamente gli spyware, una volta acquisito il pieno possesso del device, tendono a mantenersi silenziosamente attivi, lasciando trasparire poco o nulla della propria attività proprio per non insospettire la vittima, spesso ignara di quanto accaduto.

GhostCtrl spyware
Una volta installato, uno spyware è capace di prendere completo possesso del device infettato

Nel caso di GhostCtrl la faccenda si complica quando gli analisti di TrendMicro hanno scoperto l’affiliazione dello spyware con OmniRAT, un malware il cui codice di sviluppo era e viene ancora venduto regolarmente tra i 25$ e i 75$. OmniRAT raggiunse la massima esposizione mediatica nel novembre 2015, quando il commercio del virus divenne tanto fiorente da dare luogo alla nascita di versioni, sotto-versioni e varianti. GhostCtrl sembra proprio essere una di queste.

Gli studi più recenti dimostrano che di GhostCtrl siano state prodotte tre modelli: la differenza tra il primo ed il terzo si consuma naturalmente sul piano delle features, anche se l’estrema adattabilità del codice di sviluppo comporta cambiamenti più drastici. Mentre la prima versione infatti non disponeva del codice necessario per acquisire i permessi di amministratore del dispositivo, la seconda non solo è capace di rootare lo smartphone, acquisire le password degli account e prelevare foto e video senza consenso, ma può anche modificare la propria funzione da spyware a ransomware.

La terza, infine, aggiunge le opzioni di mascheramento che le hanno poi conferito il soprannome di “fantasma”, insieme a caratteristiche troppo tecniche perchè possano essere spiegate in poche parole ma che lasciano un margine ancora più largo alle capacità d’azione del virus.

Come GhostCtrl attacca gli smartphone degli utenti

La prima fase di contagio di GhostCtrl avviene attraverso i canali di infezione preferiti dalle applicazioni malevole: gli store alternativi online, le app di chat con un sistema di diffusione dei file (come Telegram). Il download di un file al di fuori di siti ufficiali e Google Play comporta sempre una certa dose di rischio, attenuabile servendosi dei tool a disposizione di ogni utente sospettoso – come lo scanner gratuito della piattaforma VirusTotal.

GhostCtrl viene accompagnato da due file APK: un wrapper ed il file infetto

Una volta installatosi, GhostCtrl si camuffa da applicazione legittimaPokémon GO, WhatsApp, Spotify – evitando di suscitare sospetti nell’utente; il file APK dell’app si suddivide a questo punto in due: la prima parte non è che una maschera, utilizzata per spingere l’utente ad installare il secondo APK, questa volta infetto ed il cuore del malware. Anche nel caso in cui l’utente cerchi di disattendere le previsioni del malware, questi continuerà a visualizzare una fastidiosa schermata pop-up di installazione, costringendo praticamente la vittima ad acconsentire al prosieguo dell’operazione.

Terminata la fase di setup iniziale GhostCtrl mantiene attivo in background un processo, denominato “com.android.machine”, con lo scopo di convincere l’utente che si tratti di una funzione propria del sistema operativo. In realtà viene aperta una backdoor che consente la ricezione di comandi (crittografati e de-crittografati localmente) direttamente dal proprio server di Comando&Controllo.

Una volta acquisito il pieno possesso del device, GhostCtrl può eseguire qualunque azione desideri: sarà sufficiente che gli amministratori – che dialogano con il virus attraverso un dominio Internet invece che servendosi di un collegamento diretto – gli comunichino il codice di comando. Tra le informazioni prelevate troviamo SMS, MMS, chiamate, segnalibri nei browser, cronologia di ricerca, password e persino immagini e video registrati servendosi della fotocamera e del microfono dello smartphone.

In caso di eventualità è persino possibile che arrivi a modificare i toni di notifica, intercettare messaggi di testo e chiamate ed anche connettersi a dispositivi Bluetooth nelle vicinanze, a riprova dell’estrema versatilità del codice di sviluppo.

Come difendersi da GhostCtrl

Fortunatamente, per ora GhostCtrl è stato utilizzato solamente in attacchi contro alcune aziende sanitarie israeliane, ma sappiamo bene quanto sia facile per un virus superare le barriere geografiche. La stessa flessibilità del malware e la facile reperibilità del suo codice ci lascia intuire che altre versioni potrebbero già essere in circolo negli store alternativi di applicazioni, di cui vi invitiamo a diffidare.

Oltre a ciò vi consigliamo anche di controllare costantemente i permessi richiesti dalle app installate, così come di riflettere sull’opportunità di scaricare un antivirus per Android – noi vi suggeriamo quello di ESET, ma abbiamo una guida a proposito che potrebbe aiutarvi a comprendere la natura degli antivirus e la loro importanza nella lotta contro hacker e malware. Certo, l’importante è che stiate attenti: sapevate che il 10% degli antivirus per Android sono falsi?

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Trend Micro Blog
Via BleepingComputer
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//