GhostCtrl transforma celular em espião e grava áudios e vídeos silenciosamente.
Detectado pela Trend Micro como ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA, ele foi nomeado como GhostCtrl, pois pode controlar furtivamente muitas das funcionalidades do dispositivo infectado.
Existem três versões do GhostCtrl. O primeiro rouba informações e controla algumas das funcionalidades do dispositivo, enquanto a segunda versão pode sequestrar mais recursos do dispositivo. A terceira interação combina o melhor dos recursos das versões anteriores e com base nas técnicas empregadas, deve evoluir ainda mais.
Trend Micro anuncia fundo de US$100 milhões para investir em startups
O GhostCtrl é também uma variante (ou pelo menos baseada) na multiplataforma OmniRAT, vendida comercialmente, que se tornou manchete em novembro de 2015. Ele se vende como um produto que pode controlar remotamente sistemas Windows, Linux e Mac com o toque do botão de um dispositivo Android – e vice-versa. Uma licença vitalícia para um pacote OmniRAT custa entre US$25 e US$75. Previsivelmente, há vários tutoriais de cracking do OmniRAT nos fóruns clandestinos, e alguns de seus membros até oferecem patches virtuais.
Na verdade, há um forte indicativo que prova que o APK malicioso é um spinoff do OmniRAT. Levando em conta que ele é um RAT como um serviço, isso pode ser modificado (ou removido) durante a compilação.
O malware se passa por um aplicativo legítimo ou popular que usa nomes como App, MMS, WhatsApp e até mesmo o Pokémon GO. Quando o aplicativo é iniciado, a base64 decodifica a string do arquivo de recursos e a escreve, o que, na verdade, é o Pacote de Aplicativos do Android (APK) na versão maliciosa.