GhostChati mobiilipahavara
GhostChat on pahatahtlik Androidi rakendus, mis esitleb end vestlus- või tutvumisplatvormina, toimides salaja nuhkvarana. Selle peamine eesmärk on koguda nakatunud seadmetest tundlikku teavet. Analüüs näitab, et peamised sihtmärgid on Pakistanis asuvad kasutajad. Kui rakendus seadmest avastatakse, on tungivalt soovitatav see kohe eemaldada, kuna pidev olemasolu suurendab oluliselt andmete varguse ja laiema ohu ohtu.
Sisukord
Petturlik sisseelamine ja võltsitud autentimine
Pärast installimist küsib GhostChat agressiivselt mitme seadme luba. Kui need on antud, kuvatakse kasutajatele sisselogimisliides, mis näib nõudvat kehtivaid volitusi. See protsess on täiesti petturlik, kuna väidetavad autentimisandmed on rakendusse kõvakodeeritud, mitte ei ole legitiimse taustteenuse kaudu kontrollitud. Sisselogimisetapp on olemas ainult autentsuse illusiooni loomiseks.
Manipuleeriv kasutajasuhtlus ja WhatsAppi ümbersuunamine
Pärast võltsitud sisselogimist kuvab rakendus arvukalt naisteprofiile, mis sisaldavad pilte, nimesid ja vanuseid. Ükski neist profiilidest pole tegelikult ligipääsetav. Nendega suhtlemise katsed paluvad kasutajatel sisestada avamiskoodi. Iga profiil on seotud kindla WhatsAppi numbriga ja oodatud koodi sisestamine avab rakenduse automaatselt WhatsAppi ja alustab vestlust selle numbriga, toetades romantilisi pettusi ja sotsiaalse manipuleerimise tegevusi.
Vaikne jälgimine ja pidev andmete väljavool
GhostChat teostab pahatahtlikke toiminguid taustal alates käivitamisest, isegi enne sisselogimist. See jälgib seadme tegevust ja edastab kogutud teavet kaugjuhtimispuldile (C2). Pahavara skannib seadet perioodiliselt uue sisu suhtes, laadides automaatselt üles fotosid ja kontrollides iga viie minuti järel äsja loodud või salvestatud dokumente. Kogutud andmete ulatus hõlmab järgmist:
Seadme identifikaatorid, kontaktide loendid, pildid ja dokumendid, näiteks PDF-id, Wordi, Exceli ja PowerPointi failid
Jagatud infrastruktuur ja töölaua nakkusahel
GhostChat C2 infrastruktuuri kasutatakse ka täiendavate pahatahtlike komponentide levitamiseks. Nende hulgas on ClickFixiga seotud DLL-fail – tehnika, mille eesmärk on petta kasutajaid väljamõeldud juhiseid järgides ise pahavara käivitama. See meetod laiendab ohtu mobiilseadmetest kaugemale ja võimaldab nakatuda ka lauaarvutites.
Usaldusväärsete identiteetide kuritarvitamine võltsitud teadete kaudu
GhostChatiga seotud ClickFixi kampaaniad tuginevad eksitavatele veebisaitidele ja võltsitud turvahoiatustele. Täheldatud juhtudel esinevad ründajad Pakistani arvutiintsidentidega tegeleva meeskonnana, kuvades murettekitavaid teateid väidetavate ohtude kohta riiklikule infrastruktuurile ja valitsusvõrkudele. Ohvreid kutsutakse üles klõpsama nuppu „Uuenda“, mis algatab pahatahtliku DLL-faili allalaadimise ja käivitamise. Kui see on aktiivne, edastab DLL süsteemi üksikasjad, näiteks arvuti nime ja kasutajanime, käsuserverile, kontrollib korduvalt edasisi juhiseid ja käivitab saadud käske PowerShelli abil.
WhatsAppi konto ülevõtmine QR-koodi pettuste abil
Samuti korraldavad ohugrupid mobiilikeskseid pettusi, mis on suunatud WhatsAppi kasutajatele. Ohvrid meelitatakse petturlikule veebisaidile, mis väidab end olevat seotud Pakistani kaitseministeeriumiga, ja julgustatakse neid liituma võltskogukonnaga. Esitatud QR-koodi skannimine lingib ohvri WhatsAppi konto ründaja kontrolli all oleva WhatsAppi veebi- või töölauaversiooniga. See annab täieliku juurdepääsu vestlustele ja kontaktidele, võimaldades konto ülevõtmist ilma kasutaja kohese teadmata.
Jaotusstrateegia ja riskide maandamine
GhostChati levitatakse ainult väljaspool ametlikke rakenduste turuplatse. Seda reklaamitakse tutvumis- või sõnumsiderakendusena ning see tugineb romantikapettuste taktikale, et veenda kasutajaid APK käsitsi installima ja lubama installimist tundmatutest allikatest. Pärast installimist küsib pahavara kohe lube ja alustab varjatud luuretegevust. Need koordineeritud kampaaniad ühendavad sotsiaalse manipuleerimise, nuhkvara ja kontode kaaperdamise, et rikkuda nii mobiil- kui ka lauaarvutikeskkondi. Valvsus soovimatute linkide, häirivate hüpikakende, mitteametlike rakenduste ja ootamatute QR-koodide suhtes on isikuandmete ja kasutajakontode kaitsmiseks endiselt kriitilise tähtsusega.
