is702
ニュース

Android端末を遠隔操作し機密情報まで盗む「GhostCtrl」

2017/07/26

トレンドマイクロは7月25日、公式ブログで「音声や動画を窃取するAndroid端末向けバッグドア型不正アプリ『GhostCtrl』」と題する記事を公開しました。幅広い機能を備えたAndroid端末向け不正アプリが、あらたに確認されました。トレンドマイクロは、この不正アプリを「GhostCtrl(ゴーストコントロール)」と名付けています。

「GhostCtrl」は、2015年11月に注目を集めた「OmniRAT」の亜種、あるいはOmniRATに基づいて開発された不正アプリと考えられます。OmniRATは、商用販売されている遠隔操作ツール(Remote AdministrationTool:RAT)で、Android端末、Windows、Linux、Macの各プラットフォームに対応しています。OmniRATそのものは、不正目的のアプリではありませんでしたが、改ざんして悪用する方法がアンダーグラウンドで流通しています。「GhostCtrl」をインストールするためのAPK(Android application package)ファイルには、「omnirat」という文字列が残っていました。

GhostCtrlは「App」「MMS」「whatsapp」「PokemonGO」等の人気アプリの名前を騙り、正規の人気アプリに偽装します。これらの不正アプリが起動されると、新しいAPKファイルが生成され、これがGhostCtrlの本体となります。この不正APKは、バックグラウンドで実行され、外部サーバに接続し、さまざまな不正行為を働きます。

GhostCtrlは、サーバから受信したコマンドをもとに、ユーザの同意を得ないまま、さまざまな操作を行います。たとえば、「壁紙として画像をダウンロード」「指定したディレクトリのファイルを削除」「指定したディレクトリのファイル名を変更」「任意のファイルをC&Cサーバにアップロード」「任意の情報を、指定した番号にSMSまたはMMSで送信」といった操作が遠隔で可能です。

さらに情報窃取専用のコマンドも用意されており、「通話履歴」「SMSの記録」「連絡先」「電話番号」「SIMのシリアル番号」「位置情報」「ブラウザのお気に入り情報」「Android OSのバージョン」「ユーザ名」「Wi-Fi、バッテリー、Bluetooth、音声機器の状態」等、さまざまなサービスの情報を窃取します。「携帯電話番号からのテキストメッセージの傍受」「ひそかに録音した音声のサーバアップロード」「指定したアカウントのパスワードを消去し、再設定」「さまざまな効果音の再生」「カメラを乗っ取って写真や動画を撮影し、サーバにアップロード」といった、珍しい機能まで用意されています。

幅広い機能を持ったGhostCtrlは、様々なプラットフォームに影響し、感染すると深刻な事態を引き起こす可能性がある警戒すべき不正アプリだと言えるでしょう。この機会により徹底した対策の重要性を認識し、PCだけでなく、モバイル端末も含めた多層的なセキュリティ対策を導入してください。




GhostCtrlが受信可能な操作コマンド(一部)<br />

GhostCtrlが受信可能な操作コマンド(一部)


  • FCTV
  • mitene
FCTV
mitene