Мобилен зловреден софтуер GhostChat
GhostChat е злонамерено приложение за Android, което се представя като платформа за чат или запознанства, докато тайно работи като шпионски софтуер. Основната му цел е да събира чувствителна информация от заразените устройства. Анализът показва, че основните цели са потребителите в Пакистан. Силно се препоръчва незабавно премахване, ако приложението бъде открито на устройство, тъй като продължителното му присъствие значително увеличава риска от кражба на данни и по-широко компрометиране.
Съдържание
Подвеждащо регистриране и фалшиво удостоверяване
След инсталирането, GhostChat агресивно изисква разрешения за множество устройства. След като бъдат предоставени, на потребителите се предоставя интерфейс за вход, който изглежда изисква валидни идентификационни данни. Този процес е изцяло измамен, тъй като предполагаемите данни за удостоверяване са твърдо кодирани в приложението, вместо да бъдат проверени чрез легитимна backend услуга. Стъпката за влизане съществува единствено, за да създаде илюзия за автентичност.
Манипулативно взаимодействие с потребителите и пренасочване на WhatsApp
След фалшивото влизане, приложението показва множество женски профили, съдържащи изображения, имена и възраст. Нито един от тези профили не е реално достъпен. Опитите за взаимодействие с тях подканват потребителите да въведат „код за отключване“. Всеки профил е свързан с конкретен номер в WhatsApp и въвеждането на очаквания код кара приложението автоматично да отвори WhatsApp и да започне разговор с този номер, което подкрепя романтични измами и дейности по социално инженерство.
Тихо наблюдение и непрекъснато извличане на данни
GhostChat извършва злонамерени операции във фонов режим от момента на стартиране, дори преди етапа на влизане в системата. Той следи активността на устройството и предава събраната информация на отдалечен сървър за командване и контрол (C2). Злонамереният софтуер периодично сканира устройството за ново съдържание, качва снимки автоматично и проверява за новосъздадени или съхранени документи на всеки пет минути. Обхватът на събраните данни включва:
Идентификатори на устройства, списъци с контакти, изображения и документи, като PDF файлове, Word, Excel и PowerPoint файлове
Споделена инфраструктура и верига за заразяване на настолни компютри
Инфраструктурата на GhostChat C2 се използва и за разпространение на допълнителни злонамерени компоненти. Сред тях е DLL файл, свързан с ClickFix, техника, предназначена да заблуди потребителите да изпълнят зловреден софтуер, като следват измислени инструкции. Този метод разширява заплахата отвъд мобилните устройства и позволява заразяването на настолни системи.
Злоупотреба с доверени самоличности чрез фалшиви сигнали
Кампаниите на ClickFix, свързани с GhostChat, разчитат на подвеждащи уебсайтове и фалшиви предупреждения за сигурност. В наблюдаваните случаи нападателите се представят за Пакистанския екип за реагиране при компютърни аварии, показвайки тревожни съобщения за предполагаеми заплахи за националната инфраструктура и правителствените мрежи. Жертвите се подканват да кликнат върху бутона „Актуализиране“, който инициира изтеглянето и изпълнението на злонамерената DLL. След като бъде активна, DLL съобщава системни данни, като например името на компютъра и потребителското име, на команден сървър, многократно проверява за допълнителни инструкции и изпълнява получените команди, използвайки PowerShell.
Превземане на акаунт в WhatsApp чрез измами с QR кодове
Злоумишлениците извършват и мобилни измами, насочени към потребители на WhatsApp. Жертвите са примамени към измамен уебсайт, който твърди, че е свързан с Министерството на отбраната на Пакистан и е насърчаван да се присъедини към фалшива общност. Сканирането на предоставен QR код свързва WhatsApp акаунта на жертвата с WhatsApp Web или Desktop под контрола на хакера. Това предоставя пълен достъп до чатове и контакти, като ефективно позволява поемане на контрол над акаунта без незабавното знание на потребителя.
Стратегия за дистрибуция и смекчаване на риска
GhostChat се разпространява изключително извън официалните магазини за приложения. Рекламира се като приложение за запознанства или съобщения и разчита на тактики за романтична измама, за да убеди потребителите ръчно да инсталират APK файла и да разрешат инсталирането му от неизвестни източници. След като бъде инсталиран, зловредният софтуер незабавно изисква разрешения и започва скрити шпионски дейности. Тези координирани кампании комбинират социално инженерство, шпионски софтуер и отвличане на акаунти, за да компрометират както мобилните, така и настолните среди. Бдителността срещу нежелани връзки, тревожни изскачащи прозорци, неофициални приложения и неочаквани QR кодове остава критична за защитата на личните данни и потребителските акаунти.
