Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置

《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後,沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際,趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App,被駭客鎖定放置惡意後門程式,以竊取裝置的帳號資料 還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式,主要是針對 安卓 (Android )用戶,會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲,誘騙使用者上鉤。

Snippets-FB

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料,能造成的威脅還不只這樣 (至少就衝擊面來看是如此),它還會引來一個更危險的威脅,那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名,是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能,第二版會進一步操控更多功能,第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看,未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地,各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學,有些人甚至還幫它開發了一些修補程式。

事實上,有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖),由於這是一個 RAT 服務,因此這一點其實可以在程式編譯的時候修改 (或移除)。

 

 

圖 1:從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsappPokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式,名稱大多叫做 App、MMS、whatsapp,甚至是 Pokemon GO。當應用程式啟動時,它會從資源檔解開一個 base64 編碼的字串並寫入磁碟,這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它,然後要求使用者安裝它。這程式非常難纏,就算使用者在要求安裝的頁面上點選「取消」,訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後,外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行:

 


圖 2:外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能,而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來,惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令,透過「new Socket(hefklife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密,APK 在收到之後會自行解密。有趣的是,趨勢科技也發現此後門程式在連線時會使用網域名稱,而非 C&C 伺服器的 IP 位址,這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址:

  • hef–ddns.net
  • f–ddns.net
  • no-ip.biz
  • no-ip.biz

值得注意的是,指令中可包含動作代碼和物件資料,駭客可透過這方式來指定攻擊目標和攻擊內容,因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能,讓使用者毫不知情。

以下是一些動作代碼和其對應的動作:

  • 動作代碼 = 10、11:操控 Wi-Fi 狀態。
  • 動作代碼 = 34:監控手機各感應器的即時資料。
  • 動作代碼 = 37:設定手機使用介面模式,如夜晚模式/車用模式。
  • 動作代碼 = 41:操控震動功能,包括振動方式和時機。
  • 動作代碼 = 46:下載圖片來當成桌布。
  • 動作代碼 = 48:列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
  • 動作代碼 = 49:刪除指定目錄中的檔案。
  • 動作代碼 = 50:重新命名指定目錄中的檔案。
  • 動作代碼 = 51:上傳某個想要的檔案至 C&C 伺服器。
  • 動作代碼 = 52:建立一個指定的目錄。
  • 動作代碼 = 60:使用文字轉語音功能 (將文字轉成音訊)。
  • 動作代碼 = 62:傳送 SMS/MMS 簡訊至駭客指定的號碼;內容可自訂。
  • 動作代碼 = 68:刪除瀏覽器歷史記錄。
  • 動作代碼 = 70:刪除 SMS 簡訊。
  • 動作代碼 = 74:下載檔案。
  • 動作代碼 = 75:撥打駭客指定的電話號碼。
  • 動作代碼 = 77:打開活動檢視應用程式,駭客可指定統一資源識別碼 (Uniform Resource Identifier,簡稱 URI),如:開啟瀏覽器、地圖、撥號的檢視等等。
  • 動作代碼 = 78:操控系統的紅外線發射器。
  • 動作代碼 = 79:執行駭客指定的指令列命令,並上傳輸出結果。

蒐集並上傳通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤

還有一個特別的 C&C 指令是一個整數指令,用於竊取裝置的資料,包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊,如:通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等等。

 

 

 

 

相對於其他 Android 資料竊取程式,GhostCtrl 所竊取的資料非常廣泛。除了前述的資料類型之外,GhostCtrl 還會蒐集 Android 作業系統版本、使用者名稱、Wi-Fi、電池、藍牙、音訊狀態、使用者介面模式、感應器、相機拍攝資料、瀏覽器、搜尋歷程記錄、服務流程、活動資訊以及桌布。

除此之外,它還可攔截來自駭客指定電話號碼的簡訊。不過它最恐怖的是能夠偷偷錄音 (對話或音訊),然後在某個時間點上傳到 C&C 伺服器。所有竊取的內容都會先經過加密再上傳到 C&C 伺服器。


圖 3:從程式碼可以看出資訊在上傳之後就會刪除。

圖 4:絕大多數與竊取資訊相關的程式碼都在「transfer」程式套件中。

還有其他的 C&C 指令則可從名稱來辨別其用途,例如:「account」、「audioManager」和「clipboard」。這些指令將觸發對應的惡意行為。值得注意的是,這些並非 Android RAT 工具常見的功能:

  • 建立/重設駭客指定帳號的密碼。
  • 讓手機播放各種不同音效。
  • 設定剪貼簿內容。
  • 自訂通知和捷徑連結,包括樣式和內容。
  • 操控藍牙來搜尋並連接至另一裝置。
  • 開啟協助工具,然後中止進行中的通話。

GhostCtrl 各版本之間有何差異?

GhostCtrl 第一版內建了一個用來取得系統管理員權限的程式架構,但僅有架構而無實作程式碼,不過到第二版時就已補齊。此外,隨著程式繼續更新到第三版,它可挾持的手機功能也逐漸增加。

 

圖 5:GhostCtrl 第一版當中用來取得系統管理員權限的程式架構。

圖 6:後門程式第一版 (左) 和第二版 (右) 的功能比較。

         圖 7:GhostCtrl 第二版中套用裝置管理員權限的程式碼。

此外,GhostCtrl 第二版還可當成手機勒索病毒。它可鎖定裝置的畫面並重設其密碼,而且還可對感染的裝置進行改機 (root)。不僅如此,也能操控相機,並安排在特定時間拍照或錄影,然後再將拍攝結果用 mp4 影片檔偷偷地上傳至 C&C 伺服器。


圖 8:GhostCtrl 具備類似勒索病毒般的功能。

 

圖 9:GhostCtrl 對感染的裝置進行改機 (root)。

GhostCtrl 第三版加入了加密編碼技巧來隱藏其惡意行為,如下所示:

圖 10:GhostCtrl 第三版的攻擊過程。

GhostCtrl 第三版首先會利用一個外層 APK 來產生一個加密的 APK。此加密的 APK 解開之後會產生主要惡意 APK 檔、一個 Dalvik 執行檔 (DEX) 和一個可執行可連結檔案 (ELF)。DEX 和 ELF 檔案會在執行時期解開主要惡意 APK 檔中的一些字串和 API 呼叫。如此複雜迂迴的攻擊程序讓它更難被偵測,而且加密的主 APK 檔和 DEX 及 ELF 檔案都是藏在前述外層 APK 檔的「assets」目錄當中。

給資安人員與 IT 系統管理員的七個建議

GhostCtrl 與資訊竊盜蠕蟲的結合既強大又有效,這是駭客試著面面俱到的作法,因此它不是光感染裝置而已。隨著行動裝置在企業和一般使用者之間越來越普及,GhostCtrl 確實相當令人擔憂。

不過,GhostCtrl 也突顯了縱深防禦的重要性。企業應部署多層式資安機制才能有效管理資料風險。此外,資安人員與 IT 系統管理員也應採取一些最佳實務作法來保障個人自備裝置 (BYOD) 的安全,例如:

  1. 隨時保持裝置更新,由於 Android 的安全更新管道分散而不連貫,因此企業可能必須透過一些客製化要求和組態設定來保持裝置更新,所以企業就必須在安全性與生產力之間尋找平衡點。
  2. 採用最低授權的原則,盡可能限縮 BYOD 裝置的使用者權限,以防範未經授權的存取,並避免安裝可疑的應用程式。
  3. 建置一套可偵測並攔截惡意和可疑應用程式的信譽評等系統。
  4. 在端點和行動裝置上部署防火牆和入侵防護,預先防範惡意程式在網路上活動。
  5. 強制實施並強化行動裝置管理政策,進一步降低潛在的安全風險。
  6. 採取資料加密、網路分割和資料分類來降低資料損失的風險。
  7. 定期備份資料以防範裝置遺失、失竊或遭到惡意加密。

 

趨勢科技解決方案

一般使用者和企業可採用一套多層式的行動安全防護來保護行動裝置,例如:趨勢科技行動安全防護

趨勢科技企業版行動安全防護提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。

如需 ANDROIDOS_GHOSTCTRL.OPS/ANDROIDOS_GHOSTCTRL.OPSA 相關的 SHA-256 雜湊碼清單,請參閱這份附錄

 

原文出處:Android Backdoor GhostCtrl can Silently Record Your Audio, Video, and More 作者:Lenart BermejoJordan Pan Cedric Pernet