GhostCtrl nimmt unter Android im Hintergrund Audio und Video auf

Mobile Malware (Bild: Shutterstock)

Die Malware verbirgt sich in imitierten Apps. Um der Erkennung zu entgehen verwendet GhostCtrl auch Verschlüsselungstechnologien. Die Schadsoftware basiert laut Trend Micro auf dem Remote Access Trojan OmniRAT.

Die Malware GhostCtrl(Ghost Control) schleicht sich mit gefälschten Apps auf Android-Smartphones und greift dort auf Mikrofon und Kamera zu. Sie kann so Audio und Video aufzeichnen und den Besitzer nahezu vollständig überwachen. Laut Trend Micro basiert GhostCtrl auf dem Remote Access Trojan OmniRAT, der schon seit 2015 bekannt ist. Dessen Besonderheit ist es, dass er sich von einem Android-Gerät aus auf Windows-, Linux- und Mac-Systeme weiterverbreiten kann. Der Infektionsweg ist auch umgekehrt möglich.

Bisher wurden Trend Micro zufolge drei Varianten von GhostCtrl bekannt. Die erste Variante stiehlt Informationen und kontrolliert nur wenige Gerätefunktionen ohne sich zu verstecken. Die zweite Variante unterstützt den Zugriff auf weitere Gerätefunktionen. Die dritte und aktuellste Version kombiniert die Möglichkeiten seiner Vorgänger und wurde von den Hintermännern noch einmal verbessert.

Die Angriffskette der dritten Verson der Malware GhostCtrl (Grafik: Trend Micro)
Die Angriffskette der dritten Verson der Malware GhostCtrl (Grafik: Trend Micro)

GhostCtrl kommt durch Apps auf Android-Geräte, die sich als weit verbreitete Anwendungen wie WhatsApp oder Pokemon Go ausgeben. Wird die gefälschte App installiert, fordert sie Nutzer auf, die eigentliche Malware zu installieren. Die Nachricht, die dazu auffordert, wird so lange immer wieder eingeblendet, bis der Nutzer endlich aufgibt und die Installation genehmigt. Die Malware verbindet sich dann mit dem Befehlsserver der Kriminellen, um von dort weitere Befehle zu erhalten.

Die werden verschlüsselt an die Malware verschickt, um die Erkennung zu erschweren. GhostCtrl kann unter anderem WLAN ein- und ausschalten, die Sensoren des Android-Geräts überwachen, die Vibrationsfunktion steuern, das Hintergrundbild ändern, Dateien umbenennen oder löschen, SMS oder MMS an kostenpflichtige Nummern verschicken sowie Dateien herunterladen oder SMS und den Browser-Verlauf löschen. Die Schadsoftware hat zudem Zugriff auf persönliche Informationen wie SMS, Adressbuch, Standort, Browser-Lesezeichen und die Seriennummer der SIM-Karte. Auch die Version des Betriebssystems, Passwörter, Kamera-, Browser- und Suchdaten kann GhostCtrl auslesen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.