بدافزار موبایل GhostChat
GhostChat یک برنامه مخرب اندرویدی است که خود را به عنوان یک پلتفرم چت یا دوستیابی معرفی میکند، در حالی که مخفیانه به عنوان جاسوسافزار عمل میکند. هدف اصلی آن جمعآوری اطلاعات حساس از دستگاههای آلوده است. تجزیه و تحلیلها نشان میدهد که کاربران در پاکستان اهداف اصلی هستند. در صورت کشف این برنامه در دستگاه، حذف فوری آن اکیداً توصیه میشود، زیرا ادامه حضور آن به طور قابل توجهی خطر سرقت دادهها و نفوذ گستردهتر را افزایش میدهد.
فهرست مطالب
ورود فریبنده و احراز هویت جعلی
پس از نصب، GhostChat به شدت درخواست مجوزهای متعدد دستگاه را میکند. پس از اعطای مجوز، کاربران با رابط ورود به سیستمی مواجه میشوند که به نظر میرسد نیاز به اعتبارنامههای معتبر دارد. این فرآیند کاملاً جعلی است، زیرا جزئیات احراز هویت ادعایی به جای تأیید از طریق یک سرویس معتبر، در برنامه به صورت کدنویسی شده قرار گرفتهاند. مرحله ورود صرفاً برای ایجاد توهم اصالت وجود دارد.
تعامل کاربر فریبکارانه و تغییر مسیر واتساپ
پس از ورود جعلی، برنامه پروفایلهای زنانه متعددی را نمایش میدهد که حاوی تصاویر، نامها و سن هستند. هیچکدام از این پروفایلها در واقع قابل دسترسی نیستند. تلاش برای تعامل با آنها، کاربران را مجبور به وارد کردن «کد باز کردن قفل» میکند. هر پروفایل به یک شماره واتساپ خاص متصل است و وارد کردن کد مورد انتظار باعث میشود برنامه بهطور خودکار واتساپ را باز کرده و مکالمهای را با آن شماره آغاز کند که از فعالیتهای کلاهبرداری عاشقانه و مهندسی اجتماعی پشتیبانی میکند.
نظارت خاموش و استخراج مداوم دادهها
GhostChat از لحظه اجرا، حتی قبل از مرحله ورود به سیستم، عملیات مخرب را در پسزمینه انجام میدهد. این برنامه فعالیت دستگاه را رصد میکند و اطلاعات جمعآوریشده را به یک سرور کنترل و فرمان (C2) از راه دور منتقل میکند. این بدافزار بهطور دورهای دستگاه را برای محتوای جدید اسکن میکند، بهطور خودکار عکسها را آپلود میکند و هر پنج دقیقه اسناد جدید ایجاد شده یا ذخیره شده را بررسی میکند. دامنه دادههای جمعآوریشده شامل موارد زیر است:
شناسههای دستگاه، فهرست مخاطبین، تصاویر و اسنادی مانند فایلهای PDF، Word، Excel و PowerPoint
زیرساخت مشترک و زنجیره آلودگی دسکتاپ
زیرساخت GhostChat C2 همچنین برای توزیع اجزای مخرب دیگر استفاده میشود. در میان آنها یک فایل DLL مرتبط با ClickFix وجود دارد، تکنیکی که برای فریب کاربران جهت اجرای بدافزار توسط خودشان با دنبال کردن دستورالعملهای ساختگی طراحی شده است. این روش تهدید را فراتر از دستگاههای تلفن همراه گسترش میدهد و امکان آلوده کردن سیستمهای دسکتاپ را فراهم میکند.
سوءاستفاده از هویتهای مورد اعتماد از طریق هشدارهای جعلی
کمپینهای ClickFix مرتبط با GhostChat به وبسایتهای گمراهکننده و هشدارهای امنیتی جعلی متکی هستند. در موارد مشاهدهشده، مهاجمان خود را به عنوان تیم واکنش اضطراری رایانهای پاکستان جا میزنند و پیامهای هشداردهندهای در مورد تهدیدات ادعایی علیه زیرساختهای ملی و شبکههای دولتی نمایش میدهند. از قربانیان خواسته میشود که روی دکمه «بهروزرسانی» کلیک کنند که دانلود و اجرای DLL مخرب را آغاز میکند. پس از فعال شدن، DLL جزئیات سیستم مانند نام رایانه و نام کاربری را به یک سرور فرمان گزارش میدهد، مرتباً دستورالعملهای بیشتر را بررسی میکند و دستورات دریافتی را با استفاده از PowerShell اجرا میکند.
کلاهبرداری تصاحب حساب واتساپ از طریق کد QR
عوامل تهدید همچنین کلاهبرداریهای موبایلمحور را با هدف قرار دادن کاربران واتساپ انجام میدهند. قربانیان به یک وبسایت جعلی که ادعا میکند وابسته به وزارت دفاع پاکستان است، فریب داده میشوند و تشویق میشوند که به یک انجمن جعلی بپیوندند. اسکن یک کد QR ارائه شده، حساب واتساپ قربانی را به واتساپ وب یا دسکتاپ تحت کنترل مهاجم متصل میکند. این امر دسترسی کامل به چتها و مخاطبین را فراهم میکند و عملاً امکان تصاحب حساب را بدون اطلاع فوری کاربر فراهم میکند.
استراتژی توزیع و کاهش ریسک
GhostChat منحصراً خارج از بازارهای رسمی برنامهها توزیع میشود. این برنامه به عنوان یک برنامه دوستیابی یا پیامرسان تبلیغ میشود و با تکیه بر تاکتیکهای کلاهبرداری عاشقانه، کاربران را متقاعد میکند که APK را به صورت دستی نصب کنند و نصب از منابع ناشناس را فعال کنند. پس از نصب، این بدافزار بلافاصله درخواست مجوز میکند و فعالیتهای جاسوسی مخفیانه را آغاز میکند. این کمپینهای هماهنگ، مهندسی اجتماعی، جاسوسافزار و ربودن حساب را ترکیب میکنند تا هم محیطهای موبایل و هم دسکتاپ را به خطر بیندازند. هوشیاری در برابر لینکهای ناخواسته، پاپآپهای هشداردهنده، برنامههای غیررسمی و کدهای QR غیرمنتظره همچنان برای محافظت از دادههای شخصی و حسابهای کاربری حیاتی است.
