Mobilní malware GhostChat
GhostChat je škodlivá aplikace pro Android, která se prezentuje jako chatovací nebo seznamovací platforma a zároveň tajně funguje jako spyware. Jejím primárním účelem je shromažďovat citlivé informace z infikovaných zařízení. Analýza ukazuje, že hlavními cíli jsou uživatelé v Pákistánu. Pokud je aplikace na zařízení objevena, důrazně se doporučuje její okamžité odstranění, protože její další přítomnost výrazně zvyšuje riziko krádeže dat a širšího ohrožení.
Obsah
Klamavý onboarding a falešné ověřování
Po instalaci GhostChat agresivně požaduje oprávnění k více zařízením. Po udělení se uživatelům zobrazí přihlašovací rozhraní, které zdánlivě vyžaduje platné přihlašovací údaje. Tento proces je zcela podvodný, protože údajné ověřovací údaje jsou pevně zakódovány v aplikaci, nikoli ověřeny prostřednictvím legitimní backendové služby. Krok přihlášení existuje pouze proto, aby vytvořil iluze autenticity.
Manipulativní interakce s uživateli a přesměrování na WhatsApp
Po falešném přihlášení aplikace zobrazí řadu ženských profilů s obrázky, jmény a věkem. Žádný z těchto profilů není ve skutečnosti přístupný. Pokusy o interakci s nimi vyzývají uživatele k zadání „odemkovacího kódu“. Každý profil je vázán na konkrétní číslo WhatsApp a zadání očekávaného kódu způsobí, že aplikace automaticky otevře WhatsApp a zahájí konverzaci s daným číslem, což podporuje podvodné aktivity zaměřené na romantické vztahy a sociální inženýrství.
Tichý dohled a nepřetržitý únik dat
GhostChat provádí škodlivé operace na pozadí od okamžiku spuštění, a to ještě před fází přihlášení. Monitoruje aktivitu zařízení a přenáší shromážděné informace na vzdálený server velení a řízení (C2). Malware pravidelně prohledává zařízení a hledá nový obsah, automaticky nahrává fotografie a každých pět minut kontroluje nově vytvořené nebo uložené dokumenty. Rozsah shromážděných dat zahrnuje:
Identifikátory zařízení, seznamy kontaktů, obrázky a dokumenty, jako například soubory PDF, Word, Excel a PowerPoint
Sdílená infrastruktura a řetězec infekcí desktopů
Infrastruktura GhostChat C2 se také používá k distribuci dalších škodlivých komponent. Mezi nimi je soubor DLL spojený s technikou ClickFix, která má uživatele oklamat a přimět je spustit malware pomocí vymyšlených pokynů. Tato metoda rozšiřuje hrozbu i za hranice mobilních zařízení a umožňuje infikování stolních systémů.
Zneužívání důvěryhodných identit prostřednictvím falešných upozornění
Kampaně ClickFix propojené s GhostChat se spoléhají na zavádějící webové stránky a padělaná bezpečnostní varování. V pozorovaných případech se útočníci vydávají za pákistánský tým pro reakci na počítačové nouzové situace (Computer Emergency Response Team) a zobrazují alarmující zprávy o údajných hrozbách pro národní infrastrukturu a vládní sítě. Oběti jsou vyzývány ke kliknutí na tlačítko „Aktualizovat“, které spustí stahování a spuštění škodlivé knihovny DLL. Jakmile je knihovna DLL aktivní, hlásí systémové podrobnosti, jako je název počítače a uživatelské jméno, na příkazový server, opakovaně kontroluje další pokyny a provádí přijaté příkazy pomocí PowerShellu.
Ovládnutí účtu WhatsApp pomocí podvodů s QR kódy
Útočníci také provádějí podvodné útoky zaměřené na mobilní zařízení, zaměřené na uživatele WhatsAppu. Oběti jsou lákány na podvodné webové stránky, které tvrdí, že jsou spojeny s pákistánským ministerstvem obrany, a jsou povzbuzovány k připojení k falešné komunitě. Naskenováním poskytnutého QR kódu se účet oběti na WhatsAppu propojí s WhatsApp Web nebo Desktop, které jsou pod kontrolou útočníka. To poskytuje plný přístup k chatům a kontaktům, což efektivně umožňuje převzetí kontroly nad účtem bez okamžitého vědomí uživatele.
Distribuční strategie a zmírňování rizik
GhostChat je distribuován výhradně mimo oficiální tržiště s aplikacemi. Je propagován jako seznamovací nebo messagingová aplikace a spoléhá na podvodné taktiky zaměřené na romantické vztahy, aby přesvědčil uživatele k ruční instalaci APK a povolení instalace z neznámých zdrojů. Po instalaci malware okamžitě požaduje oprávnění a zahajuje skryté špionážní aktivity. Tyto koordinované kampaně kombinují sociální inženýrství, spyware a únosy účtů, aby ohrozily mobilní i desktopové prostředí. Obezřetnost před nevyžádanými odkazy, alarmujícími vyskakovacími okny, neoficiálními aplikacemi a neočekávanými QR kódy zůstává zásadní pro ochranu osobních údajů a uživatelských účtů.
