ANDROIDOS_GHOSTCTRL.OPS

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

このマルウェアは、「MMS」、「whatsapp」、「App」、さらには「PokemonGO」のような名称を利用し、正規アプリや人気のあるアプリに偽装します。マルウェアは、携帯電話を乗っ取り、サイバー犯罪者の指指示に従い携帯電話番号へ発信、テキストメッセージの送信、コマンド＆コントロール（C&C）サーバ へファイルのアップロード、情報の窃取などを実行することができます。

バックドア活動

マルウェアは、コマンド＆コントロール（C&C）サーバに以下の情報を通知します。

• call logs
• SMS records
• contacts
• phone numbers
• SIM serial number
• location
• and browser bookmarks
• Android OS version
• username
• Wi-Fi
• battery
• Bluetooth
• audio states
• UiMode
• sensor
• data from camera, browser, and searches
• service processes
• activity information
• wallpaper

マルウェアは、コマンド＆コントロール（C&C）サーバに以下の情報を通知します。

• 通話記録
• テキストメッセージの記録
• 連絡先
• 携帯電話番号
• SIMのシリアル番号
• 位置情報
• ブラウザのブックマーク
• Androidのオペレーティングシステム（OS）バージョン
• ユーザ名
• Wi-fi
• バッテリー
• Bluetooth
• 音声機器の状態
• UiMode
• センサー
• センサー、カメラ、ブラウザ、検索の情報
• サービスプロセス
• Activity情報
• 壁紙

マルウェアは、C&Cサーバから以下のコマンドを受信します。

• {BLOCKED}ife.ddns.net
• {BLOCKED}e.ddns.net
• {BLOCKED}-ip.biz
• {BLOCKED}e.no-ip.biz

これらのコマンドによりサイバー犯罪者は、所有者の同意なしに端末の機能を操作することができます。

以下はアクションコードのリストおよびそれに対応する操作の一例です。

• ACTION CODE =10, 11: Wi-Fi の状態を制御
• ACTION CODE= 34: 端末のセンサーをリアルタイムで監視
• ACTION CODE= 37: 端末の「UiMode」を設定（例：夜間モード、車内モード、等）
• ACTION CODE= 41: バイブレーション機能の制御（パターンやタイミング等）
• ACTION CODE= 46: 壁紙として画像をダウンロード
• ACTION CODE= 48: 現在のディレクトリのファイル情報を列挙してC&C サーバにアップロード
• ACTION CODE= 49: 指定したディレクトリのファイルを削除
• ACTION CODE= 50: 指定したディレクトリのファイル名を変更
• ACTION CODE= 51: 任意のファイルを C&C サーバにアップロード
• ACTION CODE= 52: 指定したディレクトリを作成
• ACTION CODE= 60: テキスト情報を音声に変換
• ACTION CODE= 62: 任意の情報を、指定した番号に SMS または MMS で送信
• ACTION CODE= 68: ブラウザの履歴を削除
• ACTION CODE= 70: SMS を削除
• ACTION CODE= 74: ファイルのダウンロード
• ACTION CODE= 75: 指定した番号にダイヤル
• ACTION CODE= 77: 画面の作成を担う「Activity」や「View」を持つアプリを起動。Uniform Resource Identifier (URI) を指定することも可能。（例:ブラウザ、地図アプリ、ダイアル、閲覧など）
• ACTION CODE= 78: 赤外線送信を制御
• ACTION CODE= 79: シェルコマンドを実行し、結果をアップロード