Una nueva amenaza de seguridad ha sido detectada, GhostCtrl es parte de un ataque aún más grande que ha atacado a instituciones de salud israelíes cuyo objetivo era principalmente plataformas Windows con una herramienta llamada RETADUP la cual combina un virus (propagación), robo de información y un Backdoor (Comunicación con servidores de Comando y Control).
A diferencia de las alertas anteriores que hemos dado a conocer como el ransomware WannaCry o Petya (NotPetya), que resultó ser un Wiper-Malware puesto que borraba los archivos en vez de cifrarlos, esta vez estamos frente a un RAT ,del inglés Remote Access Trojan (Troyano de Acceso Remoto), lo que en lenguaje común significa que es un Malware que puede acceder remotamente a tu equipo, tomar control de él e incluso secuestrarlo para pedir dinero a cambio.
GhostCtrl es una versión maliciosa hecha exclusivamente para Android de OmniRAT, el cual es un RAT multipropósito que puede controlar los cuatro sistemas operativos más utilizados: Android, Linux, Windows y macOS.
Modus Operandi
GhostCtrl se hace pasar por aplicaciones legítimas y bien conocidas, usa nombres tales como MMS, Whatsapp e incluso Pokemon Go. Cuando lanzas el APK para instalar la aplicación, ésta internamente decodifica una cadena de caracteres en base64 el que finalmente es el APK malicioso, este APK es persistente, aunque le digas que no cuando te pide permiso para instalarse, va a volver a preguntarte, no está comprobado que apagando el teléfono podamos detener la amenaza. Una vez que la aplicación está instalada no la veremos en el cajón de aplicaciones porque no tiene un ícono para lanzarla y desgraciadamente se esconde con nombres e íconos de aplicaciones de sistema.
Cuando se dice que puede tomar control del sistema operativo (Android), es de verdad sobre todo el sistema operativo: Puede controlar las conexiones inalámbricas, vibración del teléfono, recolectar datos de absolutamente todos los sensores, realizar descargas, borrar archivos, renombrarlos e incluso enviarlos a sus servidores de Comando y Control (C&C), enviar SMS escritos por el atacante, borrarlos, hacer llamadas, en fin. Todo.
Indicadores de Compromiso
GhostCtrl se comunica de manera encriptada a sus servidores de C&C, de manera tal que al mirar el tráfico de un teléfono infectado, no se verá lo que realmente está ocurriendo, el servidor encripta sus mensajes y es la misma app la que desencripta y ejecuta. Se ha detectado que esta aplicación en vez de comunicarse directamente a la IP del servidor de C&C se comunican hacia Servidores de Nombres Dinámicos (DNS), ojo con las confusiones, no se trata de Servidores de Nombres de Dominio que también se conocen como DNS. Los DNS de GhostCtrl intentan ocultar la IP de los servidores de C&C, estos DNS que han sido registrados son:
- hef–klife[.]ddns[.]net
- f–klife[.]ddns[.]net
- php[.]no-ip[.]biz
- ayalove[.]no-ip[.]biz
Dado esto último, te recomiendo bloquear el acceso hacia esas URL, se encuentran ofuscadas para no generar riesgos en tu equipo.
En este link se encuentra el reporte de TrendMicro sobre el presente Malware, en su apéndice se encuentran varios de los Hash (SHA256) de aplicaciones que han sido descubiertas como GhostCtrl.
Recomendaciones para protegerte
1.- Mantén tu teléfono actualizado: Si tienes actualizaciones que no hayas aplicado, hazlo aunque tal como lo hemos dicho antes, si tu teléfono no es Nexus o Pixel, este punto no tiene mucho sentido.
2.- No instales absolutamente nada que no venga de la Play Store de Google y, en caso que requieras hacerlo, asegúrate de verificar la aplicación en VirusTotal primero. Si te entrega al menos una detección, No la instales.
