Ghostctrl

Si hay una industria que nunca deja de trabajar e innovar, es la industria del malware. Los propósitos al final suelen ser siempre los mismos, sustraer información de valor de las víctimas y utilizarla para diversos propósitos. Al respecto, la gente de Trend Micro alerta sobre un nuevo malware del tipo RAT (Remote Access Trojan) diseñado para usuarios de móviles con Android que tiene funcionalidades muy avanzadas para robar cada pieza de información que tengamos en nuestros smartphones.

Apodado GhostCtrl, es un Android RAT que una vez instalado en el sistema roba una extensa cantidad de información, incluido registros de llamada, historial SMS, números de contactos y toda su información, número serial de la SIM, locación y favoritos del navegador.

Sin embargo, a diferencia de la mayoría de los malwares de su tipo, GhostCtrl va más en la cantidad de información que sustrae del smartphone de las víctimas. GhostCtrl envía a los hackers datos como la versión de Android, nombre de usuario, red Wi-Fi utilizada, modelo de batería, conectividad Bluetooth, estado del audio, tipos de sensores, información de actividad, procesos del sistema ejecutados y datos de la cámara. Al parecer esta última información es utilizada para optimizar las técnicas que utilizará GhostCtrl para espiar a sus víctimas.

Todos los datos recolectados por este malware son encriptados y luego enviados a través de canales seguros a los servidores C&C (Command and Control) de los hackers. La información es enviada tan pronto el spyware detecta una conexión a Internet o bien, program el envío a ciertas horas en caso de que la conexión sea permanente.

GhostCtrl, según investigadores de TrendMicro, es un malware muy flexible y puede servir como una puerta trasera para la ejecución de otras herramientas de hackeo. Funciones como eliminar mensajes SMS, renombrar directorios, enviar SMS desde el móvil de la víctima, abrir aplicaciones, grabar desde la cámara o el micrófono, y correr comandos específicos, son solo algunas de las ordenes que este sofisticado malware puede ejecutar de forma remota según requieran los hackers.

Curiosamente, en el código también se ha descubierto una pieza de software que lo convierte en un ransomware, bloqueando el dispositivo y pidiendo rescate a las víctimas, aunque en la práctica los hackers no están utilizando este mecanismo.

TrendMicro también explica que GhostCtrl fue descubierto como parte de una ola de ataques perpetrados en contra de organizaciones de salud en Israel. Además de la versión para Android, también existe una para sistemas operativos Windows que esta basada en otro malware conocido, OmniRAT, que puede vulnerar sistemas macOS y Linux también. GhostCtrl sin embargo, resulta mucho más intrusivo y la cantidad de información que recopila es mucho mayor. La información sustraída es, al parecer, luego vendida en el mercado negro sin embargo, si esto fallara, los hackers podrían activar el módulo ransomware.

Las vías de infección con este malware parecen ser las clásicas: instalación de archivos APK desde fuentes no oficiales. Aunque eso si, destacan que los ataques son dirigidos a objetivos específicos.