Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós per a mòbils GhostChat

Programari maliciós per a mòbils GhostChat

El Mezo el Programari maliciós mòbil
Traduir a:

GhostChat és una aplicació maliciosa per a Android que es presenta com una plataforma de xat o cites mentre opera en secret com a programari espia. El seu objectiu principal és recopilar informació sensible dels dispositius infectats. L'anàlisi indica que els usuaris del Pakistan són els principals objectius. Es recomana fermament la seva eliminació immediata si es descobreix l'aplicació en un dispositiu, ja que la presència continuada augmenta significativament el risc de robatori de dades i de comprometre un sistema més ampli.

Incorporació enganyosa i autenticació falsa

Després de la instal·lació, GhostChat sol·licita agressivament permisos per a diversos dispositius. Un cop concedits, els usuaris reben una interfície d'inici de sessió que sembla requerir credencials vàlides. Aquest procés és completament fraudulent, ja que els suposats detalls d'autenticació s'introdueixen a l'aplicació en lloc de ser verificats a través d'un servei de backend legítim. El pas d'inici de sessió existeix únicament per crear una il·lusió d'autenticitat.

Interacció manipulativa de l’usuari i redirecció de WhatsApp

Després de l'inici de sessió fals, l'aplicació mostra nombrosos perfils femenins que contenen imatges, noms i edats. Cap d'aquests perfils és realment accessible. Els intents d'interactuar amb ells demanen als usuaris que introdueixin un "codi de desbloqueig". Cada perfil està vinculat a un número de WhatsApp específic, i la introducció del codi esperat fa que l'aplicació obri automàticament WhatsApp i iniciï una conversa amb aquest número, cosa que dóna suport a activitats d'estafa romàntica i d'enginyeria social.

Vigilància silenciosa i exfiltració contínua de dades

GhostChat duu a terme operacions malicioses en segon pla des del moment en què s'inicia, fins i tot abans de la fase d'inici de sessió. Supervisa l'activitat del dispositiu i transmet la informació recopilada a un servidor remot de comandament i control (C2). El programari maliciós escaneja periòdicament el dispositiu per detectar contingut nou, carregant fotos automàticament i comprovant si hi ha documents nous creats o emmagatzemats cada cinc minuts. L'abast de les dades recopilades inclou:

Identificadors de dispositius, llistes de contactes, imatges i documents com ara PDF, fitxers de Word, Excel i PowerPoint

Infraestructura compartida i cadena d’infecció d’escriptori

La infraestructura GhostChat C2 també s'utilitza per distribuir components maliciosos addicionals. Entre ells hi ha un fitxer DLL associat amb ClickFix, una tècnica dissenyada per enganyar els usuaris perquè executin programari maliciós ells mateixos seguint instruccions fabricades. Aquest mètode estén l'amenaça més enllà dels dispositius mòbils i permet la infecció de sistemes d'escriptori.

Abús d’identitats de confiança mitjançant alertes falses

Les campanyes de ClickFix vinculades a GhostChat es basen en llocs web enganyosos i avisos de seguretat falsos. En casos observats, els atacants suplanten l'Equip de Resposta a Emergències Informàtiques del Pakistan, mostrant missatges alarmants sobre presumptes amenaces a la infraestructura nacional i a les xarxes governamentals. S'insta a les víctimes a fer clic al botó "Actualitza", que inicia la descàrrega i l'execució de la DLL maliciosa. Un cop activa, la DLL informa dels detalls del sistema, com ara el nom de l'ordinador i el nom d'usuari, a un servidor d'ordres, comprova repetidament si hi ha més instruccions i executa les ordres rebudes mitjançant PowerShell.

Estafes d’usurpació de comptes de WhatsApp mitjançant codis QR

Els actors amenaçadors també duen a terme estafes centrades en dispositius mòbils dirigides a usuaris de WhatsApp. Les víctimes són atretes a un lloc web fraudulent que afirma estar afiliades al Ministeri de Defensa del Pakistan i se les anima a unir-se a una comunitat falsa. L'escaneig d'un codi QR proporcionat enllaça el compte de WhatsApp de la víctima amb WhatsApp Web o Desktop sota el control de l'atacant. Això atorga accés complet als xats i contactes, permetent efectivament la presa de control del compte sense que l'usuari se n'adoni immediatament.

Estratègia de distribució i mitigació de riscos

GhostChat es distribueix exclusivament fora dels mercats oficials d'aplicacions. Es promociona com una aplicació de cites o missatgeria i es basa en tàctiques d'estafa romàntica per persuadir els usuaris perquè instal·lin manualment l'APK i permetin la instal·lació des de fonts desconegudes. Un cop instal·lat, el programari maliciós sol·licita permisos immediatament i inicia activitats d'espionatge encobertes. Aquestes campanyes coordinades combinen enginyeria social, programari espia i segrest de comptes per comprometre els entorns mòbils i d'escriptori. La vigilància contra enllaços no sol·licitats, finestres emergents alarmants, aplicacions no oficials i codis QR inesperats continua sent fonamental per protegir les dades personals i els comptes d'usuari.

Tendència

Estafa de correu electrònic sobre protecció de la...

Phishing, Correu brossa
Els correus electrònics inesperats que al·leguen problemes de seguretat urgents sempre s'han de tractar amb precaució. Els ciberdelinqüents sovint exploten la por i la urgència per enganyar els usuaris i fer que cometin errors costosos. Els anomenats correus electrònics de "Protecció de la seguretat informàtica" són un clar exemple d'aquesta tàctica. Aquests missatges no estan associats a cap...

Més vist

Carregant...