תוכנה זדונית לנייד של GhostChat
GhostChat היא אפליקציית אנדרואיד זדונית המציגה את עצמה כפלטפורמת צ'אט או היכרויות, ובמקביל פועלת בסתר כתוכנת ריגול. מטרתה העיקרית היא לאסוף מידע רגיש ממכשירים נגועים. ניתוח מצביע על כך שמשתמשים בפקיסטן הם המטרות העיקריות. הסרה מיידית מומלצת מאוד אם האפליקציה מתגלה במכשיר, שכן נוכחות מתמשכת מגדילה משמעותית את הסיכון לגניבת נתונים ולפגיעה רחבה יותר.
תוכן העניינים
קליטה מטעה ואימות מזויף
לאחר ההתקנה, GhostChat מבקש באופן אגרסיבי הרשאות למספר מכשירים. לאחר מתן הרשאות, מוצג למשתמשים ממשק התחברות שנראה כדורש אישורים תקפים. תהליך זה הוא הונאה לחלוטין, מכיוון שפרטי האימות לכאורה מקודדים בקפידה לתוך האפליקציה ולא מאומתים באמצעות שירות backend לגיטימי. שלב ההתחברות קיים אך ורק כדי ליצור אשליה של אותנטיות.
אינטראקציה מניפולטיבית של משתמשים והפניית וואטסאפ
לאחר ההתחברות המזויפת, האפליקציה מציגה פרופילים רבים של נשים המכילים תמונות, שמות וגילאים. אף אחד מהפרופילים הללו אינו נגיש בפועל. ניסיונות לתקשר איתם מבקשים מהמשתמשים להזין 'קוד פתיחה'. כל פרופיל מקושר למספר WhatsApp ספציפי, והזנת הקוד המצופה גורמת לאפליקציה לפתוח אוטומטית את WhatsApp וליזום שיחה עם מספר זה, מה שמתמוך בפעילויות הונאת רומנטיקה והנדסה חברתית.
מעקב שקט וחילוץ נתונים רציף
GhostChat מבצע פעולות זדוניות ברקע מרגע הפעלתו, אפילו לפני שלב הכניסה. הוא מנטר את פעילות המכשיר ומשדר מידע שנאסף לשרת שליטה ובקרה מרוחק (C2). הנוזקה סורקת את המכשיר מעת לעת אחר תוכן חדש, מעלה תמונות באופן אוטומטי ובודקת מסמכים שנוצרו או מאוחסנים חדשים כל חמש דקות. היקף הנתונים שנאספו כולל:
מזהי מכשירים, רשימות אנשי קשר, תמונות ומסמכים כגון קבצי PDF, Word, Excel ו-PowerPoint
תשתית משותפת ושרשרת הדבקה במחשבים שולחניים
תשתית ה-C2 של GhostChat משמשת גם להפצת רכיבים זדוניים נוספים. ביניהם קובץ DLL המשויך ל-ClickFix, טכניקה שנועדה להטעות משתמשים ולגרום להם להפעיל תוכנות זדוניות בעצמם על ידי ביצוע הוראות מפוברקות. שיטה זו מרחיבה את האיום מעבר למכשירים ניידים ומאפשרת הדבקה של מערכות שולחניות.
ניצול לרעה של זהויות מהימנות באמצעות התראות מזויפות
קמפיינים של ClickFix המקושרים ל-GhostChat מסתמכים על אתרי אינטרנט מטעים ואזהרות אבטחה מזויפות. במקרים שנצפו, תוקפים מתחזים לצוות תגובת החירום של פקיסטן, ומציגים הודעות מדאיגות על איומים לכאורה על תשתיות לאומיות ורשתות ממשלתיות. הקורבנות מתבקשים ללחוץ על כפתור 'עדכון', אשר יוזם את ההורדה וההפעלה של קובץ ה-DLL הזדוני. לאחר פעילותו, קובץ ה-DLL מדווח על פרטי מערכת כגון שם המחשב ושם המשתמש לשרת פקודות, בודק שוב ושוב הוראות נוספות ומבצע פקודות שהתקבלו באמצעות PowerShell.
השתלטות על חשבון WhatsApp באמצעות הונאות קוד QR
גורמי איום מבצעים גם הונאות המתמקדות במובייל, המכוונות למשתמשי וואטסאפ. הקורבנות מפותים לאתר הונאה הטוען לשיוך למשרד ההגנה של פקיסטן ומעודדים אותם להצטרף לקהילה מזויפת. סריקת קוד QR שסופק מקשרת את חשבון הוואטסאפ של הקורבן לוואטסאפ אינטרנט או שולחן עבודה הנמצא תחת שליטת התוקף. זה מעניק גישה מלאה לצ'אטים ואנשי קשר, ומאפשר למעשה השתלטות על החשבון ללא מודעות מיידית של המשתמש.
אסטרטגיית הפצה והפחתת סיכונים
GhostChat מופץ באופן בלעדי מחוץ לשווקי האפליקציות הרשמיים. הוא מקודם כאפליקציית היכרויות או מסרים ומסתמך על טקטיקות של הונאת רומנטיקה כדי לשכנע משתמשים להתקין ידנית את ה-APK ולאפשר התקנה ממקורות לא ידועים. לאחר ההתקנה, התוכנה הזדונית מבקשת מיד הרשאות ויוזמת פעילויות ריגול חשאיות. קמפיינים מתואמים אלה משלבים הנדסה חברתית, תוכנות ריגול וחטיפת חשבונות כדי לפגוע בסביבות ניידות ומחשבים שולחניים כאחד. ערנות מפני קישורים לא רצויים, חלונות קופצים מדאיגים, אפליקציות לא רשמיות וקודי QR בלתי צפויים נותרה קריטית להגנה על נתונים אישיים וחשבונות משתמשים.
