GhostChat mobilmalware
GhostChat er en ondsindet Android-applikation, der præsenterer sig selv som en chat- eller datingplatform, mens den i hemmelighed fungerer som spyware. Dens primære formål er at indsamle følsomme oplysninger fra inficerede enheder. Analyser viser, at brugere i Pakistan er de primære mål. Øjeblikkelig fjernelse anbefales kraftigt, hvis applikationen opdages på en enhed, da fortsat tilstedeværelse øger risikoen for datatyveri og bredere kompromittering betydeligt.
Indholdsfortegnelse
Vildledende onboarding og falsk godkendelse
Efter installationen anmoder GhostChat aggressivt om tilladelser fra flere enheder. Når de er givet, præsenteres brugerne for en login-grænseflade, der ser ud til at kræve gyldige legitimationsoplysninger. Denne proces er fuldstændig svigagtig, da de formodede godkendelsesoplysninger er hardcodet ind i applikationen i stedet for at blive verificeret via en legitim backend-tjeneste. Login-trinnet eksisterer udelukkende for at skabe en illusion af ægthed.
Manipulerende brugerinteraktion og WhatsApp-omdirigering
Efter det falske login viser appen adskillige kvindelige profiler med billeder, navne og alder. Ingen af disse profiler er faktisk tilgængelige. Forsøg på at interagere med dem beder brugerne om at indtaste en 'oplåsningskode'. Hver profil er knyttet til et specifikt WhatsApp-nummer, og indtastning af den forventede kode får appen til automatisk at åbne WhatsApp og starte en samtale med det nummer, hvilket understøtter romance-svindel og social engineering-aktiviteter.
Lydløs overvågning og kontinuerlig dataudvinding
GhostChat udfører ondsindede handlinger i baggrunden fra det øjeblik, det startes, selv før loginfasen. Det overvåger enhedsaktivitet og overfører indsamlede oplysninger til en fjern kommando-og-kontrol (C2) server. Malwaren scanner periodisk enheden for nyt indhold, uploader automatisk fotos og kontrollerer for nyoprettede eller gemte dokumenter hvert femte minut. Omfanget af indsamlede data omfatter:
Enhedsidentifikatorer, kontaktlister, billeder og dokumenter såsom PDF-filer, Word-, Excel- og PowerPoint-filer
Delt infrastruktur og desktopinfektionskæde
GhostChat C2-infrastrukturen bruges også til at distribuere yderligere ondsindede komponenter. Blandt dem er en DLL-fil tilknyttet ClickFix, en teknik designet til at narre brugere til selv at udføre malware ved at følge opdigtede instruktioner. Denne metode udvider truslen ud over mobile enheder og muliggør infektion af desktop-systemer.
Misbrug af betroede identiteter gennem falske advarsler
ClickFix-kampagner, der er knyttet til GhostChat, er afhængige af vildledende websteder og forfalskede sikkerhedsadvarsler. I observerede tilfælde udgiver angriberne sig for at være Pakistans computerberedskabsteam og viser alarmerende beskeder om påståede trusler mod national infrastruktur og offentlige netværk. Ofrene opfordres til at klikke på en 'Opdater'-knap, hvilket starter download og kørsel af den skadelige DLL. Når den er aktiv, rapporterer DLL'en systemoplysninger såsom computernavn og brugernavn til en kommandoserver, tjekker gentagne gange for yderligere instruktioner og udfører modtagne kommandoer ved hjælp af PowerShell.
Overtagelse af WhatsApp-konto via QR-kodesvindel
Trusselaktører udfører også mobilcentrerede svindelnumre rettet mod WhatsApp-brugere. Ofrene lokkes til en svindelhjemmeside, der hævder at have tilknytning til Pakistans forsvarsministerium, og opfordres til at deltage i et falsk fællesskab. Scanning af en oplyst QR-kode forbinder offerets WhatsApp-konto til WhatsApp Web eller Desktop, der er under angriberens kontrol. Dette giver fuld adgang til chats og kontakter, hvilket effektivt muliggør kontoovertagelse uden brugerens umiddelbare opmærksomhed.
Distributionsstrategi og risikoreduktion
GhostChat distribueres udelukkende uden for officielle app-markedspladser. Det markedsføres som en dating- eller beskedapplikation og bruger romance-svindeltaktikker til at overtale brugerne til manuelt at installere APK'en og aktivere installation fra ukendte kilder. Når malwaren er installeret, anmoder den straks om tilladelser og igangsætter skjulte spionageaktiviteter. Disse koordinerede kampagner kombinerer social engineering, spyware og kontokapring for at kompromittere både mobil- og desktopmiljøer. Årvågenhed over for uopfordrede links, alarmerende pop op-vinduer, uofficielle apps og uventede QR-koder er fortsat afgørende for at beskytte personlige data og brugerkonti.
