Обнаружен RAT для Android с функциями вымогателя

Эксперты компании Trend Micro сообщили о новом Android-трояне для удаленного доступа (RAT) под названием GhostCtrl. Помимо стандартных функций, присущих данному типу троянов, вредонос также способен блокировать мобильное устройство путем сброса PIN-кода и отображать уведомление с требованием выкупа за разблокировку. Исследователи обнаружили функционал вымогательского ПО в коде GhostCtrl, однако троян чаще используется не для вымогательства, а для похищения данных с зараженных устройств.

GhostCtrl был обнаружен во время анализа волны атак на здравоохранительные организации в Израиле. В ходе кампании злоумышленники преимущественно использовали вредоносное ПО для Windows под названием RETADUP, представляющее собой комбинацию из червя, инфостилера и бэкдора. Кроме того, хакеры атаковали сотрудников этих организаций, заражая их мобильные устройства трояном GhostCtrl.

По словам экспертов, GhostCtrl является сильно видоизмененной версией OmniRAT – многофункционального RAT, одного из немногих, способных атаковать Android, Linux, macOS и Windows. Некоторые функции OmniRAT достались «по наследству» GhostCtrl. Помимо прочего, вредонос способен получать права суперпользователя на зараженном устройстве, контролировать датчики смартфона в режиме реального времени, удалять и переименовывать файлы в обозначенной директории, загружать файлы, загружать изображения в качестве обоев для рабочего стола, создавать директории, отправлять SMS- и MMS-сообщения на указанные злоумышленниками номера, удалять и перехватывать SMS-сообщения, удалять историю браузера, открывать приложения и т.д.

Источник