De malware zit verwerkt in aangepaste APK’s van apps zoals WhatsApp en Pokémon Go, ontdekte beveiligingsonderzoeker Trend Micro. Meestal worden dit soort namaakapps buiten Google Play aangeboden.
De getroffen apps starten een achtergrondproces genaamd ‘com.android.engine’. Die naam moet de illusie wekken dat het een algemeen softwareproces is binnen het besturingssysteem. In werkelijkheid worden er onderdelen van de telefoon overgenomen en door de app gebruikt.
De malware is in staat om meerdere functies van het toestel te bedienen, zoals de SMS-app. Daardoor zijn ook berichten uit te lezen door een aanvaller.
Afluisteren
GhostCtrl heeft ook directe toegang tot de camera en microfoon, waardoor de omgeving van een gebruiker kan worden afgeluisterd. De wachtwoorden van accounts ingelogd op het toestel kunnen ook door de malware worden gereset.
De betreffende apps blijven installatieverzoeken versturen, totdat de gebruiker hiermee akkoord gaat. De malware kan worden vermeden door de betreffende apps niet te installeren, aldus Trend Micro.