برنامج GhostChat الخبيث للهواتف المحمولة
تطبيق GhostChat هو تطبيق أندرويد خبيث يتظاهر بأنه منصة دردشة أو مواعدة، بينما يعمل سرًا كبرنامج تجسس. هدفه الأساسي هو جمع المعلومات الحساسة من الأجهزة المصابة. تشير التحليلات إلى أن المستخدمين في باكستان هم الهدف الرئيسي. يُنصح بشدة بإزالة التطبيق فورًا عند اكتشافه على أي جهاز، لأن استمرار وجوده يزيد بشكل كبير من خطر سرقة البيانات واختراقها على نطاق أوسع.
جدول المحتويات
التضليل في عملية التسجيل والتحقق من الهوية
بعد التثبيت، يطلب تطبيق GhostChat بشكل متكرر أذونات متعددة من الجهاز. وبمجرد منحها، تظهر للمستخدمين واجهة تسجيل دخول تبدو وكأنها تتطلب بيانات اعتماد صحيحة. هذه العملية احتيالية تمامًا، حيث أن بيانات المصادقة المزعومة مُضمنة في التطبيق نفسه بدلًا من التحقق منها عبر خدمة خلفية موثوقة. إن خطوة تسجيل الدخول هذه موجودة فقط لخلق وهم المصداقية.
التفاعل التلاعبي مع المستخدم وإعادة توجيه واتساب
بعد تسجيل الدخول الوهمي، يعرض التطبيق العديد من الملفات الشخصية لنساء، تحتوي على صور وأسماء وأعمار. لا يمكن الوصول إلى أي من هذه الملفات الشخصية فعليًا. عند محاولة التفاعل معها، يُطلب من المستخدمين إدخال "رمز فتح". يرتبط كل ملف شخصي برقم واتساب محدد، وإدخال الرمز المطلوب يؤدي إلى فتح التطبيق واتساب تلقائيًا وبدء محادثة مع ذلك الرقم، مما يدعم عمليات الاحتيال العاطفي والهندسة الاجتماعية.
المراقبة الصامتة وتسريب البيانات المستمر
يقوم برنامج GhostChat الخبيث بعمليات خبيثة في الخلفية منذ لحظة تشغيله، حتى قبل تسجيل الدخول. يراقب البرنامج نشاط الجهاز ويرسل المعلومات التي يجمعها إلى خادم تحكم عن بُعد. يقوم البرنامج الخبيث بفحص الجهاز دوريًا بحثًا عن محتوى جديد، ويرفع الصور تلقائيًا، ويتحقق من وجود مستندات جديدة أو مخزنة كل خمس دقائق. تشمل البيانات التي يتم جمعها ما يلي:
معرّفات الأجهزة، وقوائم جهات الاتصال، والصور، والمستندات مثل ملفات PDF وWord وExcel وPowerPoint
البنية التحتية المشتركة وسلسلة إصابة أجهزة سطح المكتب
تُستخدم بنية التحكم والسيطرة الخاصة ببرنامج GhostChat أيضًا لتوزيع مكونات خبيثة إضافية. من بينها ملف DLL مرتبط ببرنامج ClickFix، وهي تقنية مصممة لخداع المستخدمين لحملهم على تشغيل برامج خبيثة بأنفسهم باتباع تعليمات مُختلقة. تُوسّع هذه الطريقة نطاق التهديد ليشمل أجهزة أخرى غير الأجهزة المحمولة، وتُمكّن من إصابة أنظمة سطح المكتب.
إساءة استخدام الهويات الموثوقة من خلال التنبيهات المزيفة
تعتمد حملات ClickFix المرتبطة ببرنامج GhostChat على مواقع ويب مضللة وتحذيرات أمنية مزيفة. في الحالات المرصودة، ينتحل المهاجمون صفة فريق الاستجابة للطوارئ الحاسوبية الباكستاني، ويعرضون رسائل مثيرة للقلق حول تهديدات مزعومة للبنية التحتية الوطنية وشبكات الحكومة. ويتم حث الضحايا على النقر على زر "تحديث"، مما يؤدي إلى بدء تنزيل وتشغيل ملف DLL خبيث. بمجرد تفعيله، يقوم ملف DLL بإرسال تفاصيل النظام، مثل اسم الكمبيوتر واسم المستخدم، إلى خادم أوامر، ويتحقق بشكل متكرر من وجود تعليمات إضافية، وينفذ الأوامر الواردة باستخدام PowerShell.
عمليات الاحتيال على حسابات واتساب عبر رموز الاستجابة السريعة
يلجأ المهاجمون أيضًا إلى عمليات احتيال تستهدف مستخدمي واتساب عبر الهواتف المحمولة. حيث يتم استدراج الضحايا إلى موقع إلكتروني مزيف يدّعي انتسابه لوزارة الدفاع الباكستانية، ويتم تشجيعهم على الانضمام إلى مجتمع وهمي. يؤدي مسح رمز الاستجابة السريعة (QR) المرفق إلى ربط حساب واتساب الخاص بالضحية بتطبيق واتساب ويب أو سطح المكتب، مما يمنح المهاجم سيطرة كاملة على المحادثات وجهات الاتصال، وبالتالي السيطرة على الحساب دون علم المستخدم.
استراتيجية التوزيع وتخفيف المخاطر
يُوزَّع تطبيق GhostChat حصريًا خارج متاجر التطبيقات الرسمية. يُروَّج له كتطبيق مواعدة أو مراسلة، ويعتمد على أساليب الاحتيال العاطفي لإقناع المستخدمين بتثبيت ملف APK يدويًا والسماح بالتثبيت من مصادر غير معروفة. بمجرد التثبيت، يطلب البرنامج الخبيث الأذونات فورًا ويبدأ أنشطة تجسس سرية. تجمع هذه الحملات المنسقة بين الهندسة الاجتماعية وبرامج التجسس واختراق الحسابات لاختراق بيئات الهواتف المحمولة وأجهزة الكمبيوتر. يبقى الحذر من الروابط غير المرغوب فيها والنوافذ المنبثقة المزعجة والتطبيقات غير الرسمية ورموز QR غير المتوقعة أمرًا بالغ الأهمية لحماية البيانات الشخصية وحسابات المستخدمين.
