ランサムウェアとしても動作するAndroidのバックドア「GhostCtrl」が見つかる!OmniRATがカスタマイズされ、現状は感染経路や脅威は限定的



ランサムウェアとしても動作するAndroidのバックドア「GhostCtrl」とは?

Trend Micro(トレンドマイクロ)は17日(現地時間)、Android向けの著名な「WhatsApp」や「Pokemon GO」などのアプリに偽装してランサムウェアとしても動作するバックドア「GhostCtrl」を発見したと報告しています。

GhostCtrlは感染すると、デバイスのPINを無効化後、画面をロックして身代金を要求するランサムウェアとして動作するとのこと。

ただし、実際に感染しても今の段階では上記のような動作はせず、GhostCtrlのソースを解析したところそのような機能が実装されていることが判明したという状況です。


トレンドマイクロが掲載したGhostCtrlのソースコード

トレンドマイクロの研究者が発見したGhostCtrlは、イスラエルの医療機関への攻撃に利用されていたものの1つとして特定されました。元々、この医療機関への攻撃は、Windowsのみ対象をとした攻撃だったと推測されていたのですが、調査を進めてみると、医療機関関係者のAndroid搭載製品も対象だったとしています。

その際に利用しようとしていたツールがGhostCtrlで、これは攻撃ツールのRAT(リモート型トロイの木馬)であるAndroid用「OmniRAT」を大幅にカスタマイズされたものであることも判明しています。

GhostCtrlは感染した端末に対して以下のような攻撃を行うことがでることが明らかになっています。このようにGhostCtrlに感染してしまうと、端末を完全に攻撃者がコントロールできるようになってしまいます。

・root権限の奪取
・C&Cサーバー(指令サーバー)との通信
・Wi-Fiの状態の制御
・電話機に搭載されたセンサーのデータをリアルタイムで傍受
・ナイトモードやドライブモードへの切り替えなど、UIモードの切り替えを行う
・バイブレーション機能の制御
・カレントディレクトリのファイル一覧を取得し、C&Cサーバーへアップロードする
・指定したディレクトリ内のファイルを削除する
・指定したディレクトリ内のファイル名を変更する。
・C&Cサーバーに目的のファイルをアップロードする
・ファイルをデバイスにダウンロードさせる
・写真をダウンロードさせ、壁紙に設定させる
・ディレクトリを作成させる
・テキストスピーチ機能を使用する
・攻撃者が指定した番号へSMSを送信させる
・SMSを傍受する
・SMSを削除する
・攻撃者が指定した番号へ電話をかけさせる
・デバイスのカメラとマイクから、動画や音声を録画録音し、C&Cサーバーへアップロードさせる
・ブラウザの閲覧履歴を削除する
・アプリケーションを開く
・赤外線機能を制御する
・攻撃者が指定したシェルコマンドを実行し、実行結果をC&Cサーバーへアップロードさせる
・PINコードを初期化、勝手にデバイスをロックさせる
・様々なサウンドエフェクトを再生させる
・クリップボードに指定したコンテンツを設定する
・Bluetooth機能を制御し、他のデバイスとペアリングさせる
・通知をカスタマイズする
・アクセシビリティ機能を全てONにし、通話中のコールを切断させる

病院などの非常に重要な社会インフラを対象とした攻撃と聞くと背筋がぞっとしますね……それだけ、Androidが社会インフラにおいて広く普及しているわけですし、そういった施設の関係者はより深く慎重に電子機器を扱って欲しいところです。

今年に入って特にAndroidを狙うモバイル向けの脅威が続々と増えてきています。国内では大手携帯電話会社が販売する製品を中心にすでにウイルス対策アプリが導入されていることが多いですが、AndroidでもWindowsと同じく、ウイルス対策ソフトが必須となる時代に突入してしまっているのかも知れません。



記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・TrendLabs Security Intelligence BlogAndroid Backdoor GhostCtrl can Silently Record Your Audio, Video, and More - TrendLabs Security Intelligence Blog
・GhostCtrl Is an Android RAT That Also Doubles as Ransomware

共有する

関連記事

【ケータイラボ】3.2メガピクセルカメラやGPS機能が使える!ハイスペックケータイ「813T」

「813T」は、コンパクトなボディーに、3.2メガピクセルカメラやGPS機能を内蔵した東芝製のハイスペックケータイ。発売時期は3月上旬以降を予定し、価格はオープンプライス。「813T」は、落ち着いた雰囲気の上質感漂うクールカラーをま…

【デジカメ調査室】トリプルブレ補正機能を搭載したキュートなデジカメ「FS1」

「FS1」は、薄さ24.2mmのスリムなボディに、600万画素CCDとトリプルブレ補正機能を搭載したコンパクトなデジタルカメラ。2月9日より発売が開始され、カラーバリエーションは、シルバー、ブルー、ピンクの3色。価格は、オープンプライ…

【ケータイラボ】ほぼフルスペックの高機能ケータイ「W52T」

3インチのワイドVGA液晶画面(800×480ドット)にワンセグ、デジタルラジオ、おサイフ機能にBluetoothなど、現在auの携帯電話で考えられるほとんどのスペックが詰め込まれた高機能端末「W52T」が発売になった。ただ、auの高速通信規格「…

【気になるPC】モバイルノートPCでもVistaが動作!富士通のタブレットPC「LOOX P70U/V」フォトレポート

富士通の「LOOX P70U/V」は、Windows Vistaを搭載し、ワンセグ放送も受信できるタブレットPC。本体サイズは232×167×34.5mm※のA5ファイルサイズで、重さは約997g※と、携帯性に優れたマシンに仕上がっている。価格は、富士通ショッピング…

【気になるPC】Vistaの動作を快適にしよう!レディブースト対応メモリーフォトレポート

マイクロソフトが満を持した次世代OS「Windows Vista」(以下、Vista)の発売から3ヶ月が経ち、Vista環境の導入も一段落したユーザーも多いだろう。パソコンの快適な動作には、メモリーが重要となる。メモリーを増やすことが一番効果的…