32 220 35 21 biuro@omegasoft.pl

Tren Mockr, firma zajmująca się zabezpieczeniami w sieci ostrzega wszystkich użytkowników systemu Android przed nowym i bardzo groźnym backdoorem o nazwie GhistCtrl. Wykryte niedawno zagrożenie jest „ulepszoną” i dużo niebezpieczniejszą wersją znanego i grasującego w sieci od roku 2015  OmniRAT. Owo zagrożenie, chociaż mówi się jedynie o systemie Android, może także dotyczyć użytkowników Linuxa, Maca oraz oczywiście Windowsa. Hackerzy za pomocą złośliwego oprogramowania są w stanie wyciągnąć dosłownie wszystkie dane z naszych telefonów, jakie ich interesują. Nie muszą się nawet nad tym sporo namęczyć.

Uważaj, czego używasz

Złośliwe oprogramowanie podszywa się pod najpopularniejsze aplikacje, a więc pod wszystkie możliwe programy z nazwami, jak App, a więc na przykład Whatsapp czy MMS, na przykład popularne Pokemon GO. O wykrytym niedawno zagrożeniu wiadomo już tyle, że z pewnością posiada trzy lub nawet więcej odmian. Jego najbogatsza i najgorsza dla użytkowników odmiana pozwala na otrzymanie dostępu do wszystkich danych oraz całkowite przejęcie kontroli nad danym urządzeniem, łącznie z transferem danych.

Trudny do zignorowania

Złośliwe oprogramowanie będzie próbowało zostać zainstalowanym na naszym urządzeniu za wszelką cenę, dlatego nawet po odmówieniu instalacji po raz pierwszy, GhostCtrl z pewnością zapyta nas o tę operację ponownie – tak długo, aż zdenerwowany takim stanem rzeczy użytkownik w końcu wyrazi zgodę na instalowanie oprogramowania. Ta z kolei wystartuje z usługą, która włączy nam działającą przez cały czas w tle złośliwą aplikację.

Musisz być uważny

Złośliwe oprogramowanie jest sprytne i z pewnością próba jego wtargnięcia do systemu może zostać niezauważona przez mniej wprawionych czy mniej uważnych użytkowników. Aplikacja korzysta z com.android.engine, w związku z czym bardzo dba, aby korzystający z telefonu użytkownik czasem jej nie wyłączył.

Jak działa nowe zagrożenie?

Chociaż mamy obecnie do czynienia aż z trzema odmianami „hitu” sprzed kilku lat, to jednak każda z tych odmian działa na bardzo zbliżonych do siebie zasadach. Zaraz po zakażeniu urządzenia jest gotowe na odbieranie przesyłanych do niego komend oraz jednocześnie podłącza się do serwera C&C, czyli Comman & Control, korzystając z portu 3176. Teraz już nic nie stoi na przeszkodzie, aby hacker zdobył dosłownie wszystkie nasze najważniejsze dane. Nie muszą to być same listy rozmów czy SMS-y lub kontakty z książki adresowej, może to być również numer seryjny karty SIM, lokalizacja, zakładki w przeglądarce internetowej. Możliwe jest również nagrywanie dźwięk za pomocą uruchamianej kamerki w urządzeniu, a następnie – w zaszyfrowanej formie – przesyłanie jej na serwery.