新型Android恶意软件来袭，三个变种，一个比一个厉害

趋势科技的研究人员发现了三种不同版本的新型Android恶意软件，称为GhostCtrl。此恶意软件能够帮助攻击者远程控制Android设备并窃取数据。它还使攻击者有能力录制音频/视频，并将其上传到恶意软件的C＆C服务器。第二个版本的GhostCtrl Android恶意软件也可以作为勒索软件。

6月下旬，趋势科技安全研究人员找到一个名为RETADUP的信息窃取恶意软件。根据进一步的研究，发现RETADUP伴随着更加危险的恶意软件，而且面向所有Android设备。

这个Android恶意软件已被命名为GhostCtrl，因为它可以控制Android智能手机。这种恶意软件是基于流行的RAT（远程访问木马）OmniRAT，它具有远程控制运行Windows，Linux和macOS的机器的功能。

像许多其他Android恶意软件一样，GhostCtrl也隐藏、伪装之类的流行应用程序，如WhatsApp，MMS，Pokemon Go等。恶意软件的主APK具有后门功能，名为com.android.engine，以误导用户。

连接到控制和命令（C＆C）服务器后，它获得本地解密的加密指令。要隐藏其流量，恶意软件连接到域，而不是直接与C＆C服务器的IP地址通信。

用命令中包含的动作代码执行的一些操作：

• 控制WiFi

• 删除/重命名文件

• 将文件上传到C＆C服务器

• 监控手机的传感器数据

• 删除浏览器历史记录，短信

• 发送短信/彩信到任何号码

• 打电话给任何号码

• 运行一个shell命令并上传结果

这不是全部。GhostCtrl Android恶意软件还可以从手机录制语音或音频，并将其上传到C＆C服务器。被盗数据在执行上传之前被加密。

应该注意的是，GhostCtrl有三种不同的版本。第二个版本是一个更高级的版本，带有功能代码，用于在管理级别操作。

GhostCtrl Android恶意软件的第二个版本也可以作为移动勒索软件。它能够锁定设备屏幕，重置密码和执行roots。第三个版本具有更高级的隐藏其恶意进程的功能。它使GhostCtrl检测更具挑战性。

为了保持安全并减轻GhostCtrl Android恶意软件的威胁，建议用户更新设备，并应用最低权限的原则。建议定期进行备份，并使用加密和防火墙等技术。