ランサムウェアとしても動作するAndroidのバックドア「GhostCtrl」とは?

Trend Micro(トレンドマイクロ)は17日(現地時間)、Android向けの著名な「WhatsApp」や「Pokémon GO」などのアプリに偽装してランサムウェアとしても動作するバックドア「GhostCtrl」を発見したと報告しています。

GhostCtrlは感染すると、デバイスのPINを無効化後、画面をロックして身代金を要求するランサムウェアとして動作するとのこと。

ただし、実際に感染しても今の段階では上記のような動作はせず、GhostCtrlのソースを解析したところそのような機能が実装されていることが判明したという状況です。

02
トレンドマイクロが掲載したGhostCtrlのソースコード

トレンドマイクロの研究者が発見したGhostCtrlは、イスラエルの医療機関への攻撃に利用されていたものの1つとして特定されました。元々、この医療機関への攻撃は、Windowsのみ対象をとした攻撃だったと推測されていたのですが、調査を進めてみると、医療機関関係者のAndroid搭載製品も対象だったとしています。

その際に利用しようとしていたツールがGhostCtrlで、これは攻撃ツールのRAT(リモート型トロイの木馬)であるAndroid用「OmniRAT」を大幅にカスタマイズされたものであることも判明しています。

GhostCtrlは感染した端末に対して以下のような攻撃を行うことがでることが明らかになっています。このようにGhostCtrlに感染してしまうと、端末を完全に攻撃者がコントロールできるようになってしまいます。

・root権限の奪取
・C&Cサーバー(指令サーバー)との通信
・Wi-Fiの状態の制御
・電話機に搭載されたセンサーのデータをリアルタイムで傍受
・ナイトモードやドライブモードへの切り替えなど、UIモードの切り替えを行う
・バイブレーション機能の制御
・カレントディレクトリのファイル一覧を取得し、C&Cサーバーへアップロードする
・指定したディレクトリ内のファイルを削除する
・指定したディレクトリ内のファイル名を変更する。
・C&Cサーバーに目的のファイルをアップロードする
・ファイルをデバイスにダウンロードさせる
・写真をダウンロードさせ、壁紙に設定させる
・ディレクトリを作成させる
・テキストスピーチ機能を使用する
・攻撃者が指定した番号へSMSを送信させる
・SMSを傍受する
・SMSを削除する
・攻撃者が指定した番号へ電話をかけさせる
・デバイスのカメラとマイクから、動画や音声を録画録音し、C&Cサーバーへアップロードさせる
・ブラウザの閲覧履歴を削除する
・アプリケーションを開く
・赤外線機能を制御する
・攻撃者が指定したシェルコマンドを実行し、実行結果をC&Cサーバーへアップロードさせる
・PINコードを初期化、勝手にデバイスをロックさせる
・様々なサウンドエフェクトを再生させる
・クリップボードに指定したコンテンツを設定する
・Bluetooth機能を制御し、他のデバイスとペアリングさせる
・通知をカスタマイズする
・アクセシビリティ機能を全てONにし、通話中のコールを切断させる

病院などの非常に重要な社会インフラを対象とした攻撃と聞くと背筋がぞっとしますね……それだけ、Androidが社会インフラにおいて広く普及しているわけですし、そういった施設の関係者はより深く慎重に電子機器を扱って欲しいところです。

今年に入って特にAndroidを狙うモバイル向けの脅威が続々と増えてきています。国内では大手携帯電話会社が販売する製品を中心にすでにウイルス対策アプリが導入されていることが多いですが、AndroidでもWindowsと同じく、ウイルス対策ソフトが必須となる時代に突入してしまっているのかも知れません。

03


記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
TrendLabs Security Intelligence BlogAndroid Backdoor GhostCtrl can Silently Record Your Audio, Video, and More - TrendLabs Security Intelligence Blog
GhostCtrl Is an Android RAT That Also Doubles as Ransomware