GhostCtrl, el nuevo RAT para Android que bloquea los dispositivos

Un nuevo RAT (Remote Access Trojan, en sus siglas en inglés) ha sido detectado en Android bajo el nombre de GhostCtrl. Puede bloquear el dispositivo al restablecer el PIN y mostrar una nota para las víctimas con un rescate para recuperar el control de su teléfono o tableta. Esto se conoce como ransomware y está presente también en este tipo de aplicaciones como vemos.

Qué es RAT

Se entiende como RAT (Remote Access Tool) aquellas herramientas que son utilizadas para¬†administrar remotamente alg√ļn tipo de sistema. Estas aplicaciones pueden ser leg√≠timas o pueden no serlos, as√≠ como ser utilizadas con o sin autorizaci√≥n del usuario. Es por ello que conllevan un riesgo que puede ser importante si se trata de una aplicaci√≥n da√Īina y que act√ļa sin nuestro consentimiento.

Cuando están hechas para fines maliciosos, estas aplicaciones generalmente son troyanos que abren una puerta trasera en el equipo del usuario para permitir dicha administración por un tercero. Por ello se les conoce como Remote Access Trojan, en estos casos.

El RAT en GhostCtrl ha sido descubierto por los¬†investigadores de Trend Microcomo parte de una ola de ataques contra organizaciones de salud israel√≠es. La campa√Īa se dirigi√≥, principalmente, a ordenadores Windows con RETADUP, una combinaci√≥n de un gusano, un infostealer y un troyano.

Pero este grupo también se ha dirigido hacia los usuarios de Android. Esta es una versión personalizada de OmniRAT, una RAT multiuso y una de las pocas que pueden apuntar a cuatro sistemas operativos diferentes: Android, Linux, MacOS y Windows. OnmiRAT es uno de los principales RATs del mercado.

GhostCtrl

Todas las caracter√≠sticas¬†de OnmiRAT tambi√©n est√°n incluidas en GhostCtrl, por lo que hace de este √ļltimo una amenaza peligrosa y muy potente. Este es un resumen de las caracter√≠sticas confirmadas de GhostCtrl por parte del informe ofrecido por Trend Micro.

  • Capacidad para infectar dispositivos Android
  • Se comunica con un servidor C&C remoto
  • Control del estado WiFi
  • Supervisar los sensores del tel√©fono en tiempo real
  • Configurar el UiMode del tel√©fono, como el modo nocturno o modo coche
  • Controlar la funci√≥n de vibraci√≥n, incluyendo el patr√≥n y cu√°ndo act√ļa
  • Eliminar un archivo del directorio indicado
  • Cambiar el nombre a un archivo del directorio indicado
  • Descargar un archivo
  • Descargar im√°genes como fondo de pantalla
  • Crear un directorio indicado
  • Interceptar el env√≠o de SMS/MMS
  • Eliminar SMS/MMS
  • Enviar SMS/MMS a un n√ļmero determinado

Estas son algunas de las características principales del programa, aunque son muchas más las que posee.

En general, GhostCtrl es uno de los RATs de Android más avanzados jamás visto, con características que implican que este malware haya sido desarrollado por alguien con mucha experiencia en el desarrollo de aplicaciones para estos dispositivos.

La evidencia actual sugiere que esta amenaza se usa para robar datos de organizaciones de salud, ya sea para vender en el mercado negro o para chantajear a las propias instituciones que han sido hackeadas. Si todo esto falla, la característica de ransomware podría ser utilizada para obtener dinero a través de los dispositivos hackeados.

Fuente:https://www.redeszone.net/2017/07/17/ghostctrl-el-nuevo-rat-para-android-que-bloquea-los-dispositivos/