《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後，沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際，趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App，被駭客鎖定放置惡意後門程式，以竊取裝置的帳號資料 還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式，主要是針對 安卓 (Android )用戶，會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲，誘騙使用者上鉤。

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料，能造成的威脅還不只這樣 (至少就衝擊面來看是如此)，它還會引來一個更危險的威脅，那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名，是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能，第二版會進一步操控更多功能，第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看，未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地，各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學，有些人甚至還幫它開發了一些修補程式。

事實上，有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖)，由於這是一個 RAT 服務，因此這一點其實可以在程式編譯的時候修改 (或移除)。

圖 1：從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsapp、Pokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式，名稱大多叫做 App、MMS、whatsapp，甚至是 Pokemon GO。當應用程式啟動時，它會從資源檔解開一個 base64 編碼的字串並寫入磁碟，這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它，然後要求使用者安裝它。這程式非常難纏，就算使用者在要求安裝的頁面上點選「取消」，訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後，外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行：

圖 2：外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能，而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來，惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令，透過「new Socket(“hef–klife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密，APK 在收到之後會自行解密。有趣的是，趨勢科技也發現此後門程式在連線時會使用網域名稱，而非 C&C 伺服器的 IP 位址，這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址：

• hef–ddns.net
• f–ddns.net
• no-ip.biz
• no-ip.biz

值得注意的是，指令中可包含動作代碼和物件資料，駭客可透過這方式來指定攻擊目標和攻擊內容，因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能，讓使用者毫不知情。

以下是一些動作代碼和其對應的動作：

• 動作代碼 = 10、11：操控 Wi-Fi 狀態。
• 動作代碼 = 34：監控手機各感應器的即時資料。
• 動作代碼 = 37：設定手機使用介面模式，如夜晚模式/車用模式。
• 動作代碼 = 41：操控震動功能，包括振動方式和時機。
• 動作代碼 = 46：下載圖片來當成桌布。
• 動作代碼 = 48：列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
• 動作代碼 = 49：刪除指定目錄中的檔案。
• 動作代碼 = 50：重新命名指定目錄中的檔案。
• 動作代碼 = 51：上傳某個想要的檔案至 C&C 伺服器。
• 動作代碼 = 52：建立一個指定的目錄。
• 動作代碼 = 60：使用文字轉語音功能 (將文字轉成音訊)。
• 動作代碼 = 62：傳送 SMS/MMS 簡訊至駭客指定的號碼；內容可自訂。
• 動作代碼 = 68：刪除瀏覽器歷史記錄。
• 動作代碼 = 70：刪除 SMS 簡訊。
• 動作代碼 = 74：下載檔案。
• 動作代碼 = 75：撥打駭客指定的電話號碼。
• 動作代碼 = 77：打開活動檢視應用程式，駭客可指定統一資源識別碼 (Uniform Resource Identifier，簡稱 URI)，如：開啟瀏覽器、地圖、撥號的檢視等等。
• 動作代碼 = 78：操控系統的紅外線發射器。
• 動作代碼 = 79：執行駭客指定的指令列命令，並上傳輸出結果。

蒐集並上傳通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤

還有一個特別的 C&C 指令是一個整數指令，用於竊取裝置的資料，包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊，如：通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等等。

• PC-cillin 跨平台防護 Windows、Mac、Android、iOS跨平台全面防毒 》即刻免費下載試用

繼續閱讀