Un nuevo RAT (Remote Access Trojan, en sus siglas en inglés) ha sido detectado en Android bajo el nombre de GhostCtrl. Puede bloquear el dispositivo al restablecer el PIN y mostrar una nota para las víctimas con un rescate para recuperar el control de su teléfono o tableta. Esto se conoce como ransomware y está presente también en este tipo de aplicaciones como vemos.
Qué es RAT
Se entiende como RAT (Remote Access Tool) aquellas herramientas que son utilizadas para administrar remotamente algún tipo de sistema. Estas aplicaciones pueden ser legítimas o pueden no serlos, así como ser utilizadas con o sin autorización del usuario. Es por ello que conllevan un riesgo que puede ser importante si se trata de una aplicación dañina y que actúa sin nuestro consentimiento.
Cuando están hechas para fines maliciosos, estas aplicaciones generalmente son troyanos que abren una puerta trasera en el equipo del usuario para permitir dicha administración por un tercero. Por ello se les conoce como Remote Access Trojan, en estos casos.
El RAT en GhostCtrl ha sido descubierto por los investigadores de Trend Microcomo parte de una ola de ataques contra organizaciones de salud israelíes. La campaña se dirigió, principalmente, a ordenadores Windows con RETADUP, una combinación de un gusano, un infostealer y un troyano.
Pero este grupo también se ha dirigido hacia los usuarios de Android. Esta es una versión personalizada de OmniRAT, una RAT multiuso y una de las pocas que pueden apuntar a cuatro sistemas operativos diferentes: Android, Linux, MacOS y Windows. OnmiRAT es uno de los principales RATs del mercado.
GhostCtrl
Todas las características de OnmiRAT también están incluidas en GhostCtrl, por lo que hace de este último una amenaza peligrosa y muy potente. Este es un resumen de las características confirmadas de GhostCtrl por parte del informe ofrecido por Trend Micro.
- Capacidad para infectar dispositivos Android
- Se comunica con un servidor C&C remoto
- Control del estado WiFi
- Supervisar los sensores del teléfono en tiempo real
- Configurar el UiMode del teléfono, como el modo nocturno o modo coche
- Controlar la función de vibración, incluyendo el patrón y cuándo actúa
- Eliminar un archivo del directorio indicado
- Cambiar el nombre a un archivo del directorio indicado
- Descargar un archivo
- Descargar imágenes como fondo de pantalla
- Crear un directorio indicado
- Interceptar el envío de SMS/MMS
- Eliminar SMS/MMS
- Enviar SMS/MMS a un número determinado
Estas son algunas de las características principales del programa, aunque son muchas más las que posee.
En general, GhostCtrl es uno de los RATs de Android más avanzados jamás visto, con características que implican que este malware haya sido desarrollado por alguien con mucha experiencia en el desarrollo de aplicaciones para estos dispositivos.
La evidencia actual sugiere que esta amenaza se usa para robar datos de organizaciones de salud, ya sea para vender en el mercado negro o para chantajear a las propias instituciones que han sido hackeadas. Si todo esto falla, la característica de ransomware podría ser utilizada para obtener dinero a través de los dispositivos hackeados.
Fuente:https://www.redeszone.net/2017/07/17/ghostctrl-el-nuevo-rat-para-android-que-bloquea-los-dispositivos/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad