GhostChat-mobiilihaittaohjelma
GhostChat on haitallinen Android-sovellus, joka esiintyy keskustelu- tai deittialustana ja toimii salaa vakoiluohjelmana. Sen ensisijainen tarkoitus on kerätä arkaluonteisia tietoja tartunnan saaneista laitteista. Analyysi osoittaa, että Pakistanissa olevat käyttäjät ovat pääasiallisia kohteita. Sovelluksen välitön poistaminen on erittäin suositeltavaa, jos se havaitaan laitteella, sillä jatkuva läsnäolo lisää merkittävästi tietovarkauksien ja laajemman vaarantumisen riskiä.
Sisällysluettelo
Harhaanjohtava käyttöönotto ja väärennetty todennus
Asennuksen jälkeen GhostChat pyytää aggressiivisesti useiden laitteiden käyttöoikeuksia. Kun käyttöoikeudet on myönnetty, käyttäjille näytetään kirjautumisnäkymä, joka näyttää vaativan voimassa olevat tunnistetiedot. Tämä prosessi on täysin vilpillinen, koska oletetut todennustiedot on koodattu sovellukseen kiinteästi sen sijaan, että ne olisi vahvistettu laillisen taustapalvelun kautta. Kirjautumisvaihe on olemassa vain luodakseen illuusion aitoudesta.
Manipuloiva käyttäjän vuorovaikutus ja WhatsApp-uudelleenohjaus
Väärennetyn kirjautumisen jälkeen sovellus näyttää useita naisprofiileja, jotka sisältävät kuvia, nimiä ja ikätietoja. Yhteenkään näistä profiileista ei voi todellisuudessa päästä käsiksi. Yritykset olla vuorovaikutuksessa profiilien kanssa kehottavat käyttäjiä syöttämään "avauskoodin". Jokainen profiili on sidottu tiettyyn WhatsApp-numeroon, ja odotetun koodin syöttäminen avaa automaattisesti WhatsAppin ja aloittaa keskustelun kyseisen numeron kanssa, mikä tukee romanssihuijauksia ja sosiaalista manipulointia.
Hiljainen valvonta ja jatkuva tiedonsiirto
GhostChat suorittaa haitallisia toimintoja taustalla heti käynnistyksestään lähtien, jopa ennen kirjautumisvaihetta. Se valvoo laitteen toimintaa ja lähettää kerättyjä tietoja etäkomento- ja -hallintapalvelimelle (C2). Haittaohjelma skannaa laitteen säännöllisesti uuden sisällön varalta, lataa automaattisesti valokuvia ja tarkistaa vasta luodut tai tallennetut asiakirjat viiden minuutin välein. Kerättyjen tietojen laajuuteen kuuluvat:
Laitetunnisteet, yhteystietoluettelot, kuvat ja asiakirjat, kuten PDF-, Word-, Excel- ja PowerPoint-tiedostot
Jaettu infrastruktuuri ja työpöydän tartuntaketju
GhostChat C2 -infrastruktuuria käytetään myös muiden haitallisten komponenttien levittämiseen. Näiden joukossa on ClickFixiin liittyvä DLL-tiedosto. ClickFix on tekniikka, jonka tarkoituksena on huijata käyttäjiä suorittamaan haittaohjelmia itse noudattamalla tekaistuja ohjeita. Tämä menetelmä laajentaa uhan mobiililaitteiden ulkopuolelle ja mahdollistaa pöytätietokoneiden tartuttamisen.
Luotettavien henkilöllisyyksien väärinkäyttö väärennettyjen hälytysten avulla
GhostChat-palveluun linkitetyt ClickFix-kampanjat perustuvat harhaanjohtaviin verkkosivustoihin ja väärennettyihin tietoturvavaroituksiin. Havaituissa tapauksissa hyökkääjät ovat esiintyneet Pakistanin tietoturvayksikön edustajina ja näyttäneet hälyttäviä viestejä väitetyistä uhkista kansalliseen infrastruktuuriin ja valtion verkkoihin. Uhreja kehotetaan napsauttamaan "Päivitä"-painiketta, joka käynnistää haitallisen DLL-tiedoston lataamisen ja suorittamisen. Kun tiedosto on aktiivinen, DLL raportoi järjestelmätiedot, kuten tietokoneen nimen ja käyttäjätunnuksen, komentopalvelimelle, tarkistaa toistuvasti lisäohjeita ja suorittaa vastaanotetut komennot PowerShellin avulla.
WhatsApp-tilin kaappaus QR-koodihuijauksilla
Uhkatoimijat tekevät myös mobiilikeskeisiä huijauksia, jotka on suunnattu WhatsApp-käyttäjille. Uhrit houkutellaan huijaussivustolle, joka väittää olevansa yhteydessä Pakistanin puolustusministeriöön, ja heitä kannustetaan liittymään väärennettyyn yhteisöön. Annetun QR-koodin skannaaminen linkittää uhrin WhatsApp-tilin hyökkääjän hallinnassa olevaan WhatsApp Webiin tai Desktopiin. Tämä antaa täyden pääsyn keskusteluihin ja yhteystietoihin, mikä mahdollistaa tilin kaappaamisen käyttäjän välittömän tietämättömyyden vuoksi.
Jakelustrategia ja riskienhallinta
GhostChatia levitetään yksinomaan virallisten sovelluskauppapaikkojen ulkopuolella. Sitä mainostetaan deitti- tai viestisovelluksena, ja se hyödyntää romanssihuijaustaktiikoita suostutellakseen käyttäjiä asentamaan APK:n manuaalisesti ja sallimaan asennuksen tuntemattomista lähteistä. Asennuksen jälkeen haittaohjelma pyytää välittömästi käyttöoikeuksia ja aloittaa salaisen vakoilun. Nämä koordinoidut kampanjat yhdistävät sosiaalista manipulointia, vakoiluohjelmia ja tilien kaappauksia vaarantaakseen sekä mobiili- että työpöytäympäristöt. Valppaus ei-toivottujen linkkien, hälyttävien ponnahdusikkunoiden, epävirallisten sovellusten ja odottamattomien QR-koodien varalta on edelleen ratkaisevan tärkeää henkilötietojen ja käyttäjätilien suojaamiseksi.
