GhostChat मोबाइल मैलवेयर
GhostChat एक दुर्भावनापूर्ण एंड्रॉइड एप्लिकेशन है जो चैट या डेटिंग प्लेटफॉर्म के रूप में खुद को प्रस्तुत करता है, जबकि गुप्त रूप से स्पाइवेयर के रूप में काम करता है। इसका मुख्य उद्देश्य संक्रमित उपकरणों से संवेदनशील जानकारी एकत्र करना है। विश्लेषण से पता चलता है कि पाकिस्तान में उपयोगकर्ता इसके मुख्य लक्ष्य हैं। यदि किसी डिवाइस पर यह एप्लिकेशन पाया जाता है, तो इसे तुरंत हटाने की पुरजोर सलाह दी जाती है, क्योंकि इसकी निरंतर उपस्थिति डेटा चोरी और व्यापक सुरक्षा खतरे को काफी बढ़ा देती है।
विषयसूची
भ्रामक ऑनबोर्डिंग और नकली प्रमाणीकरण
इंस्टॉलेशन के बाद, GhostChat कई डिवाइस की अनुमतियाँ माँगता है। अनुमति मिलने पर, उपयोगकर्ताओं को एक लॉगिन इंटरफ़ेस दिखाई देता है जिसमें वैध क्रेडेंशियल की आवश्यकता प्रतीत होती है। यह प्रक्रिया पूरी तरह से धोखाधड़ी है, क्योंकि प्रमाणीकरण संबंधी जानकारी किसी वैध बैकएंड सेवा के माध्यम से सत्यापित होने के बजाय एप्लिकेशन में ही हार्डकोड की गई होती है। लॉगिन चरण केवल प्रामाणिकता का भ्रम पैदा करने के लिए होता है।
उपयोगकर्ता के साथ छेड़छाड़ और व्हाट्सएप रीडायरेक्शन
फर्जी लॉगिन के बाद, ऐप कई महिला प्रोफाइल दिखाता है जिनमें तस्वीरें, नाम और उम्र दी गई होती हैं। इनमें से कोई भी प्रोफाइल वास्तव में एक्सेस करने योग्य नहीं है। इनसे संपर्क करने का प्रयास करने पर उपयोगकर्ताओं को एक 'अनलॉक कोड' दर्ज करने के लिए कहा जाता है। प्रत्येक प्रोफाइल एक विशिष्ट व्हाट्सएप नंबर से जुड़ा होता है, और अपेक्षित कोड दर्ज करने पर ऐप स्वचालित रूप से व्हाट्सएप खोलकर उस नंबर पर बातचीत शुरू कर देता है, जिससे रोमांस स्कैम और सोशल इंजीनियरिंग गतिविधियों को बढ़ावा मिलता है।
गुप्त निगरानी और निरंतर डेटा की चोरी
GhostChat लॉन्च होने के क्षण से ही, लॉगिन चरण से पहले ही, पृष्ठभूमि में दुर्भावनापूर्ण गतिविधियाँ करता है। यह डिवाइस की गतिविधि पर नज़र रखता है और एकत्रित जानकारी को एक दूरस्थ कमांड-एंड-कंट्रोल (C2) सर्वर पर भेजता है। मैलवेयर समय-समय पर डिवाइस को नई सामग्री के लिए स्कैन करता है, स्वचालित रूप से फ़ोटो अपलोड करता है और हर पाँच मिनट में नए बनाए गए या संग्रहीत दस्तावेज़ों की जाँच करता है। एकत्रित डेटा में निम्नलिखित शामिल हैं:
डिवाइस पहचानकर्ता, संपर्क सूचियाँ, चित्र और दस्तावेज़ जैसे कि PDF, Word, Excel और PowerPoint फ़ाइलें
साझा अवसंरचना और डेस्कटॉप संक्रमण श्रृंखला
GhostChat C2 इंफ्रास्ट्रक्चर का इस्तेमाल अतिरिक्त दुर्भावनापूर्ण घटकों को वितरित करने के लिए भी किया जाता है। इनमें ClickFix से जुड़ी एक DLL फ़ाइल भी शामिल है, जो उपयोगकर्ताओं को मनगढ़ंत निर्देशों का पालन करने के लिए बरगलाने और उन्हें खुद ही मैलवेयर चलाने के लिए डिज़ाइन की गई एक तकनीक है। यह विधि मोबाइल उपकरणों से परे खतरे को बढ़ाती है और डेस्कटॉप सिस्टम को भी संक्रमित करने में सक्षम बनाती है।
फर्जी अलर्ट के माध्यम से विश्वसनीय पहचानों का दुरुपयोग
GhostChat से जुड़े ClickFix अभियान भ्रामक वेबसाइटों और नकली सुरक्षा चेतावनियों पर निर्भर करते हैं। देखे गए मामलों में, हमलावर पाकिस्तान की कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CPE) का रूप धारण करके राष्ट्रीय बुनियादी ढांचे और सरकारी नेटवर्क के लिए कथित खतरों के बारे में खतरनाक संदेश प्रदर्शित करते हैं। पीड़ितों से 'अपडेट' बटन पर क्लिक करने का आग्रह किया जाता है, जिससे दुर्भावनापूर्ण DLL डाउनलोड और निष्पादन शुरू हो जाता है। सक्रिय होने पर, DLL कंप्यूटर का नाम और उपयोगकर्ता नाम जैसी सिस्टम जानकारी एक कमांड सर्वर को भेजता है, आगे के निर्देशों के लिए बार-बार जाँच करता है, और PowerShell का उपयोग करके प्राप्त कमांड को निष्पादित करता है।
क्यूआर कोड के जरिए व्हाट्सएप अकाउंट हैक करने के घोटाले
अपराधी WhatsApp उपयोगकर्ताओं को निशाना बनाकर मोबाइल आधारित धोखाधड़ी भी करते हैं। पीड़ितों को पाकिस्तान के रक्षा मंत्रालय से संबद्ध होने का दावा करने वाली एक फर्जी वेबसाइट पर ले जाया जाता है और उन्हें एक नकली समुदाय में शामिल होने के लिए प्रोत्साहित किया जाता है। दिए गए QR कोड को स्कैन करने से पीड़ित का WhatsApp खाता हमलावर के नियंत्रण वाले WhatsApp वेब या डेस्कटॉप से जुड़ जाता है। इससे चैट और संपर्कों तक पूरी पहुंच मिल जाती है, जिससे उपयोगकर्ता को तत्काल जानकारी के बिना ही खाते पर पूरी तरह से कब्ज़ा किया जा सकता है।
वितरण रणनीति और जोखिम न्यूनीकरण
GhostChat आधिकारिक ऐप मार्केटप्लेस के बाहर ही वितरित किया जाता है। इसे डेटिंग या मैसेजिंग एप्लिकेशन के रूप में प्रचारित किया जाता है और यह रोमांस-स्कैम हथकंडों का इस्तेमाल करके उपयोगकर्ताओं को APK को मैन्युअल रूप से इंस्टॉल करने और अज्ञात स्रोतों से इंस्टॉलेशन को सक्षम करने के लिए राजी करता है। एक बार इंस्टॉल हो जाने के बाद, मैलवेयर तुरंत अनुमतियाँ मांगता है और गुप्त जासूसी गतिविधियाँ शुरू कर देता है। ये समन्वित अभियान सोशल इंजीनियरिंग, स्पाइवेयर और अकाउंट हाइजैकिंग को मिलाकर मोबाइल और डेस्कटॉप दोनों वातावरणों को खतरे में डालते हैं। अवांछित लिंक, खतरनाक पॉप-अप, अनौपचारिक ऐप्स और अप्रत्याशित QR कोड के प्रति सतर्क रहना व्यक्तिगत डेटा और उपयोगकर्ता खातों की सुरक्षा के लिए अत्यंत महत्वपूर्ण है।
