Κακόβουλο λογισμικό GhostChat για κινητά
Το GhostChat είναι μια κακόβουλη εφαρμογή Android που παρουσιάζεται ως πλατφόρμα συνομιλίας ή γνωριμιών, ενώ λειτουργεί κρυφά ως spyware. Ο κύριος σκοπός της είναι η συλλογή ευαίσθητων πληροφοριών από μολυσμένες συσκευές. Η ανάλυση δείχνει ότι οι κύριοι στόχοι είναι οι χρήστες στο Πακιστάν. Συνιστάται έντονα η άμεση αφαίρεση της εφαρμογής εάν ανακαλυφθεί σε μια συσκευή, καθώς η συνεχής παρουσία αυξάνει σημαντικά τον κίνδυνο κλοπής δεδομένων και ευρύτερης παραβίασης.
Πίνακας περιεχομένων
Παραπλανητική ενσωμάτωση και ψεύτικη επαλήθευση ταυτότητας
Μετά την εγκατάσταση, το GhostChat ζητά επιθετικά πολλαπλά δικαιώματα χρήσης συσκευών. Μόλις εκχωρηθούν, οι χρήστες εμφανίζονται με μια διεπαφή σύνδεσης που φαίνεται να απαιτεί έγκυρα διαπιστευτήρια. Αυτή η διαδικασία είναι εντελώς δόλια, καθώς τα υποτιθέμενα στοιχεία ελέγχου ταυτότητας ενσωματώνονται στην εφαρμογή αντί να επαληθεύονται μέσω μιας νόμιμης υπηρεσίας backend. Το βήμα σύνδεσης υπάρχει αποκλειστικά για να δημιουργήσει μια ψευδαίσθηση αυθεντικότητας.
Χειριστική αλληλεπίδραση χρήστη και ανακατεύθυνση WhatsApp
Μετά την ψεύτικη σύνδεση, η εφαρμογή εμφανίζει πολλά γυναικεία προφίλ που περιέχουν εικόνες, ονόματα και ηλικίες. Κανένα από αυτά τα προφίλ δεν είναι στην πραγματικότητα προσβάσιμο. Οι προσπάθειες αλληλεπίδρασης με αυτά ζητούν από τους χρήστες να εισαγάγουν έναν «κωδικό ξεκλειδώματος». Κάθε προφίλ συνδέεται με έναν συγκεκριμένο αριθμό WhatsApp και η εισαγωγή του αναμενόμενου κωδικού προκαλεί την αυτόματη έναρξη του WhatsApp από την εφαρμογή και την έναρξη μιας συνομιλίας με αυτόν τον αριθμό, υποστηρίζοντας δραστηριότητες ερωτικής απάτης και κοινωνικής μηχανικής.
Σιωπηλή Επιτήρηση και Συνεχής Απομάκρυνση Δεδομένων
Το GhostChat εκτελεί κακόβουλες λειτουργίες στο παρασκήνιο από τη στιγμή που εκκινείται, ακόμη και πριν από το στάδιο σύνδεσης. Παρακολουθεί τη δραστηριότητα της συσκευής και μεταδίδει τις πληροφορίες που συλλέγει σε έναν διακομιστή απομακρυσμένης εντολής και ελέγχου (C2). Το κακόβουλο λογισμικό σαρώνει περιοδικά τη συσκευή για νέο περιεχόμενο, ανεβάζοντας αυτόματα φωτογραφίες και ελέγχοντας για νέα έγγραφα που δημιουργήθηκαν ή αποθηκεύτηκαν κάθε πέντε λεπτά. Το εύρος των συλλεγόμενων δεδομένων περιλαμβάνει:
Αναγνωριστικά συσκευών, λίστες επαφών, εικόνες και έγγραφα όπως PDF, αρχεία Word, Excel και PowerPoint
Κοινόχρηστη Υποδομή και Αλυσίδα Μόλυνσης Επιφάνειας Εργασίας
Η υποδομή GhostChat C2 χρησιμοποιείται επίσης για τη διανομή πρόσθετων κακόβουλων στοιχείων. Μεταξύ αυτών είναι ένα αρχείο DLL που σχετίζεται με το ClickFix, μια τεχνική που έχει σχεδιαστεί για να παραπλανά τους χρήστες ώστε να εκτελούν οι ίδιοι κακόβουλο λογισμικό ακολουθώντας κατασκευασμένες οδηγίες. Αυτή η μέθοδος επεκτείνει την απειλή πέρα από τις κινητές συσκευές και επιτρέπει τη μόλυνση επιτραπέζιων συστημάτων.
Κατάχρηση αξιόπιστων ταυτοτήτων μέσω ψεύτικων ειδοποιήσεων
Οι καμπάνιες ClickFix που συνδέονται με το GhostChat βασίζονται σε παραπλανητικούς ιστότοπους και πλαστές προειδοποιήσεις ασφαλείας. Σε παρατηρούμενες περιπτώσεις, οι εισβολείς μιμούνται την Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών του Πακιστάν, εμφανίζοντας ανησυχητικά μηνύματα σχετικά με φερόμενες απειλές για την εθνική υποδομή και τα κυβερνητικά δίκτυα. Τα θύματα παροτρύνονται να κάνουν κλικ σε ένα κουμπί «Ενημέρωση», το οποίο ξεκινά τη λήψη και την εκτέλεση του κακόβουλου DLL. Μόλις ενεργοποιηθεί, το DLL αναφέρει λεπτομέρειες συστήματος, όπως το όνομα του υπολογιστή και το όνομα χρήστη, σε έναν διακομιστή εντολών, ελέγχει επανειλημμένα για περαιτέρω οδηγίες και εκτελεί τις ληφθείσες εντολές χρησιμοποιώντας το PowerShell.
Κατάληψη λογαριασμού WhatsApp μέσω απάτης με κωδικό QR
Οι απειλητικοί παράγοντες διεξάγουν επίσης απάτες με επίκεντρο κινητά που στοχεύουν χρήστες του WhatsApp. Τα θύματα παρασύρονται σε έναν δόλιο ιστότοπο που ισχυρίζεται ότι συνδέεται με το Υπουργείο Άμυνας του Πακιστάν και ενθαρρύνονται να συμμετάσχουν σε μια ψεύτικη κοινότητα. Η σάρωση ενός παρεχόμενου κωδικού QR συνδέει τον λογαριασμό WhatsApp του θύματος με το WhatsApp Web ή το Desktop που βρίσκεται υπό τον έλεγχο του εισβολέα. Αυτό παρέχει πλήρη πρόσβαση σε συνομιλίες και επαφές, επιτρέποντας ουσιαστικά την κατάληψη του λογαριασμού χωρίς την άμεση επίγνωση του χρήστη.
Στρατηγική Διανομής και Μετριασμός Κινδύνου
Το GhostChat διανέμεται αποκλειστικά εκτός επίσημων αγορών εφαρμογών. Προωθείται ως εφαρμογή γνωριμιών ή ανταλλαγής μηνυμάτων και βασίζεται σε τακτικές απάτης ρομαντικών ειδήσεων για να πείσει τους χρήστες να εγκαταστήσουν χειροκίνητα το APK και να ενεργοποιήσουν την εγκατάσταση από άγνωστες πηγές. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό ζητά αμέσως δικαιώματα και ξεκινά μυστικές δραστηριότητες κατασκοπείας. Αυτές οι συντονισμένες εκστρατείες συνδυάζουν την κοινωνική μηχανική, το spyware και την παραβίαση λογαριασμών για να θέσουν σε κίνδυνο τόσο τα κινητά όσο και τα επιτραπέζια περιβάλλοντα. Η επαγρύπνηση κατά των ανεπιθύμητων συνδέσμων, των ανησυχητικών αναδυόμενων παραθύρων, των ανεπίσημων εφαρμογών και των απροσδόκητων κωδικών QR παραμένει κρίσιμη για την προστασία των προσωπικών δεδομένων και των λογαριασμών χρηστών.
