Android 恶意软件 GhostSpy 可完全控制受感染的设备

一种名为 GhostSpy 的复杂新型 Android 恶意软件已成为移动设备安全的重大威胁，它展现出先进的功能，可让网络犯罪分子完全控制受感染的智能手机和平板电脑。

这种基于 Web 的远程访问木马 (RAT) 采用多阶段感染过程，首先是一个看似无害的植入程序应用程序，它会悄悄提升权限并部署旨在建立持久监视和控制能力的辅助有效载荷。

该恶意软件代表了移动威胁令人担忧的演变，利用先进的规避技术、自动权限处理和复杂的反卸载机制来维持对受害设备的长期访问。

GhostSpy 的攻击媒介通常涉及社会工程策略，将自己呈现为合法的应用程序更新或系统实用程序来诱骗用户安装。

一旦建立，恶意软件就会利用 Android 的辅助功能服务和设备管理员 API 来绕过安全限制，并在用户不知情的情况下授予自己广泛的权限。

Cyfirma 分析师在持续的威胁监控活动中发现了这种高风险的 Android 恶意软件变种，并指出其监控功能和持久机制的组合特别危险。

研究团队的分析显示，GhostSpy 可以执行全面的数据盗窃，包括键盘记录、屏幕捕获、背景音频和视频录制、短信和通话记录提取、GPS 位置跟踪和远程命令执行。

也许最令人担忧的是，该恶意软件能够使用骨架视图重建方法绕过银行应用程序屏幕截图保护，该方法从所谓的安全应用程序中获取完整的 UI 布局。

该恶意软件的运营商基础设施表明其源自巴西，其在不同位置托管了多个活跃的命令和控制服务器，并支持多种语言，包括葡萄牙语、英语和西班牙语。

这种国际范围表明 GhostSpy 得到积极维护并分布在各个地区，其主要 C2 服务器位于 stealth.gstpainel.fun，其他端点在端口 3000 和 4200 上运行。

GhostSpy 之所以特别阴险，是因为它采用了全面的设备入侵方法，将传统的 RAT 功能与现代的移动专用攻击技术相结合。

该恶意软件可以窃取银行凭证进行金融欺诈，甚至在限制截图的应用程序中捕获屏幕内容，并通过滥用辅助功能服务进行未经授权的金融交易，对个人隐私和金融安全构成严重威胁。

技术报告：

https://www.cyfirma.com/research/ghostspy-web-based-android-rat-advanced-persistent-rat-with-stealthy-remote-control-and-uninstall-resistance/

新闻链接：

https://cybersecuritynews.com/new-android-malware-ghostspy/