GhostCtrl: o malware que transforma o celular em espião

O worm RETADUP que afetou os hospitais israelenses é realmente apenas parte de um ataque muito maior do que aparenta - pelo menos em termos de impacto. Detectado pela Trend Micro como ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA, ele foi nomeado como GhostCtrl, pois pode controlar furtivamente muitas das funcionalidades do dispositivo infectado.

Existem três versões do GhostCtrl. O primeiro rouba informações e controla algumas das funcionalidades do dispositivo, enquanto a segunda versão pode sequestrar mais recursos do dispositivo. A terceira interação combina o melhor dos recursos das versões anteriores e com base nas técnicas empregadas, deve evoluir ainda mais.
O GhostCtrl, reforça a Trend Micro, especializada em segurança da Informação, é também uma variante (ou pelo menos baseada) na multiplataforma OmniRAT, vendida comercialmente, que se tornou manchete em novembro de 2015. Ele se vende como um produto que pode controlar remotamente sistemas Windows, Linux e Mac com o toque do botão de um dispositivo Android - e vice-versa.
Uma licença vitalícia para um pacote OmniRAT custa entre US$25 e US$75. Previsivelmente, há vários tutoriais de cracking do OmniRAT nos fóruns clandestinos, e alguns de seus membros até oferecem patches virtuais. Na verdade, há um forte indicativo que prova que o APK malicioso é um spinoff do OmniRAT. Levando em conta que ele é um RAT como um serviço, isso pode ser modificado (ou removido) durante a compilação.
Os especialistas informam ainda que o malware se passa por um aplicativo legítimo ou popular que usa nomes como App, MMS, WhatsApp e até mesmo o Pokémon GO. Quando o aplicativo é iniciado, a base64 decodifica a string do arquivo de recursos e a escreve, o que, na verdade, é o Pacote de Aplicativos do Android (APK) na versão maliciosa.

O APK malicioso, depois de clicado dinamicamente por uma APK wrapper, pedirá ao usuário para instalá-lo. Segundo a Trend Micro, evitar isso é muito complicado: mesmo que o usuário cancele o prompt "pedido de instalação", a mensagem ainda assim será exibida imediatamente. O APK malicioso não possui um ícone e, após instalado, vai iniciar um serviço que permite que o APK malicioso principal seja executado no background.

Os comandos de C&C do servidor são criptografados e decodificados localmente pelo APK após o recebimento. Curiosamente, a Trend Micro descobriu que o backdoor se conecta a um domínio em vez de se conectar diretamente ao endereço IP do servidor C&C. Isso pode ser uma tentativa de encobrir seu tráfego. Também foram descobertos vários servidores com nomes dinâmicos (DNS), que em algum momento levaram ao mesmo endereço IP de C&C:

·hef–klife[.]ddns[.]net

·f–klife[.]ddns[.]net

·php[.]no-ip[.]biz

·ayalove[.]no-ip[.]biz


Um comando notável inclui o código de ação e Object DATA, que permite aos atacantes especificarem o alvo e o conteúdo, fazendo com que esse seja um malware muito flexível para os cibercriminosos. Este é o comando que permite que os invasores manipulem as funcionalidades do dispositivo sem o consentimento ou o conhecimento do proprietário.

Outro comando exclusivo de C&C é um comando de tipo integral, responsável por roubar os dados do dispositivo. Diferentes tipos de dados sensíveis - e, para os cibercriminosos, valiosos - serão coletados e carregados, incluindo registros de chamadas, registros de SMS, contatos, números de telefone, número de série do SIM, localização e marcadores do navegador.

O GhostCtrl rouba vários dados, em comparação com outros navegadores de informações Android. Além dos dados mencionados acima, o GhostCtrl também pode roubar informações como a versão do sistema operacional Android, nome de usuário, Wi-Fi, bateria, Bluetooth e estados de áudio, UiMode, sensor, dados da câmera, navegador e pesquisas, processos de serviço, informações de atividade e papel de parede.

Ele também pode interceptar mensagens de texto de números de telefone especificados pelo atacante. Sua capacidade mais assustadora é a habilidade de gravar de forma desapercebida a voz ou áudio e carregá-los no servidor C&C em um determinado momento. Todo o conteúdo roubado será criptografado antes de ser carregado no servidor C&C.

Os outros comandos de C&C são definidos automaticamente, como "conta", "Gestor de áudio" e "área de transferência" e irão desencadear rotinas maliciosas. Vale ressaltar que os recursos abaixo não são comumente vistos em RATs do Android:

·Eliminar/redefinir a senha de uma conta especificada pelo atacante;

.Fazer com que o telefone toque efeitos sonoros diferentes;

·Especificar o conteúdo na área de transferência;

·Personalizar o link de notificação e atalho, incluindo o estilo e o conteúdo;

·Controlar o Bluetooth para procurar e se conectar a outro dispositivo;

·Definir a acessibilidade para TRUE e encerrar uma chamada de telefone em andamento.

Como as versões do GhostCtrl se unem?

A primeira versão do GhostCtrl possui uma estrutura que permite ganhar privilégios do nível de administrador. Os recursos a serem sequestrados também aumentaram à medida que o malware evoluiu para suas segundas e terceiras interações.
A segunda versão do GhostCtrl também pode ser um ransomware móvel. Pode bloquear a tela do dispositivo e redefinir sua senha e também rotear o dispositivo infectado. Também pode sequestrar a câmera, criar uma tarefa agendada de tirar fotos ou gravar vídeo e, em seguida, carregá-las de forma desapercebida no servidor C&C como arquivos mp4.

A combinação do GhostCtrl com um bug de roubo de informações, apesar de potente, também é bem reveladora. Os atacantes tentaram cobrir suas bases e se certificaram de não infectar apenas os endpoints. E com a ubiquidade de dispositivos móveis entre usuários finais corporativos e cotidianos, as capacidades do GhostCtrl podem, de fato, ser bem assustadoras.

Mas, mais do que o seu impacto, o GhostCtrl ressalta a importância de uma proteção completa. Mecanismos de segurança multicamadas devem ser implantados para que os riscos aos dados sejam melhor gerenciados. Algumas das melhores práticas que os profissionais da segurança da informação e os administradores de TI/sistema podem adotar para proteger os dispositivos BYOD incluem:

·Mantenha o dispositivo atualizado;

·Aplique o princípio de permissões para usuários com menos privilégios para evitar o acesso não autorizado e a instalação de aplicativos duvidosos;

·Implemente um sistema de reputação de aplicativos que possa detectar e bloquear aplicativos maliciosos e suspeitos;

·Implante firewalls, detecção de intrusão e sistemas de prevenção tanto no endpoint quanto nos níveis de dispositivos móveis para prevenir as atividades de rede maliciosas do malware;

.Aplique e fortaleça suas políticas de gerenciamento de dispositivos móveis para reduzir ainda mais riscos potenciais de segurança;

·Utilize criptografia, segmentação de rede e segregação de dados para limitar a exposição ou danos aos dados;

·Regularmente faça backup dos dados em caso de perda de dispositivo, roubo ou criptografia maliciosa.