病毒盯上安卓用戶偽裝寶可夢竊聽對話

一款Android後門程序「GhostCtrl」，會偽裝成熱門程序Pokemon GO（寶可夢），暗中錄音、錄像。

資安業者趨勢科技發現一款Android後門程序「GhostCtrl」，會偽裝成熱門程序Pokemon GO（寶可夢），暗中錄音、錄像，還可隨心所欲操控受感染的裝置，但裝置使用者卻毫不知情。

趨勢科技指出，最近攻擊以色列醫院的RETADUP信息竊盜蠕蟲，還會引來一個更危險的威脅：可操控受害裝置的Android惡意程序，也就是趨勢科技命名為GhostCtrl的後門程序。

GhostCtrl共有三種版本。第一版會竊取信息並掌控裝置的特定功能，第二版會進一步操控更多功能，第三版則吸收了前兩版的優點之後再加入更多功能。趨勢科技認為，從該程序的技巧演進情況來看，未來只會越來越厲害。

GhostCtrl其實是2015年11月曾經登上媒體版面的OmniRAT商用多功能惡意程序平台的變種之一。它宣稱只要在Android裝置上透過觸控方式，就能遠端遙控Windows、Linux和Mac系統。

趨勢科技發現，此惡意程序會偽裝成一般正常或熱門的應用程序，名稱大多叫做App、MMS、whatsapp，甚至是Pokemon GO。當應用程序啟動時，它會從資源檔解開一個base64編碼的字串並寫入磁碟，這其實是惡意Android應用程序套件（APK）。

接下來，惡意APK會聯機至幕後操縱（C&C）伺服器來接收指令，但裝置使用者卻毫不知情；黑客可以暗中操縱裝置的功能，包括搜集並上傳各種對網路犯罪集團有價值的敏感信息，例如通話記錄、簡訊記錄、通訊錄、電話號碼、SIM卡序列號、地理位置、瀏覽器書籤等。

面對GhostCtrl這樣的後門程序，趨勢科技建議企業應部署多層式資安機制才能有效管理數據風險，包括隨時保持裝置更新、採用最低授權的原則，以及建置一套可偵測並攔截惡意和可疑應用程序的信譽評等系統。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！