Mobilni zlonamjerni softver GhostChat
GhostChat je zlonamjerna Android aplikacija koja se predstavlja kao platforma za chat ili upoznavanje, a tajno djeluje kao špijunski softver. Njena primarna svrha je prikupljanje osjetljivih informacija sa zaraženih uređaja. Analiza pokazuje da su glavne mete korisnici u Pakistanu. Preporučuje se trenutno uklanjanje ako se aplikacija otkrije na uređaju, jer daljnja prisutnost značajno povećava rizik od krađe podataka i šireg kompromitiranja.
Sadržaj
Obmanjujući onboarding i lažna autentifikacija
Nakon instalacije, GhostChat agresivno traži dopuštenja za više uređaja. Nakon što im se dozvole odobre, korisnicima se prikazuje sučelje za prijavu koje izgleda kao da zahtijeva valjane vjerodajnice. Ovaj je postupak u potpunosti lažan, jer su navodni podaci za autentifikaciju ugrađeni u aplikaciju, a ne provjereni putem legitimne pozadinske usluge. Korak prijave postoji isključivo kako bi se stvorila iluzija autentičnosti.
Manipulativna interakcija korisnika i preusmjeravanje na WhatsAppu
Nakon lažne prijave, aplikacija prikazuje brojne ženske profile koji sadrže slike, imena i dob. Nijedan od tih profila zapravo nije dostupan. Pokušaji interakcije s njima potiču korisnike da unesu 'kod za otključavanje'. Svaki profil vezan je za određeni WhatsApp broj, a unos očekivanog koda uzrokuje da aplikacija automatski otvori WhatsApp i započne razgovor s tim brojem, podržavajući romantične prijevare i aktivnosti socijalnog inženjeringa.
Tihi nadzor i kontinuirano izvlačenje podataka
GhostChat provodi zlonamjerne operacije u pozadini od trenutka pokretanja, čak i prije faze prijave. Prati aktivnost uređaja i prenosi prikupljene informacije na udaljeni poslužitelj za upravljanje i kontrolu (C2). Zlonamjerni softver periodički skenira uređaj u potrazi za novim sadržajem, automatski prenosi fotografije i provjerava novokreirane ili pohranjene dokumente svakih pet minuta. Opseg prikupljenih podataka uključuje:
Identifikatori uređaja, popisi kontakata, slike i dokumenti kao što su PDF-ovi, Word, Excel i PowerPoint datoteke
Dijeljena infrastruktura i lanac zaraze računala
Infrastruktura GhostChat C2 također se koristi za distribuciju dodatnih zlonamjernih komponenti. Među njima je DLL datoteka povezana s ClickFixom, tehnikom osmišljenom za prevaru korisnika da sami izvrše zlonamjerni softver slijedeći izmišljene upute. Ova metoda proširuje prijetnju izvan mobilnih uređaja i omogućuje zarazu stolnih sustava.
Zlouporaba pouzdanih identiteta putem lažnih upozorenja
ClickFix kampanje povezane s GhostChatom oslanjaju se na obmanjujuće web stranice i krivotvorena sigurnosna upozorenja. U promatranim slučajevima, napadači se lažno predstavljaju kao pakistanski Tim za odgovor na računalne hitne slučajeve, prikazujući alarmantne poruke o navodnim prijetnjama nacionalnoj infrastrukturi i vladinim mrežama. Žrtve se potiču da kliknu gumb 'Ažuriraj', što pokreće preuzimanje i izvršavanje zlonamjernog DLL-a. Nakon što je aktivan, DLL prijavljuje detalje sustava kao što su naziv računala i korisničko ime naredbenom poslužitelju, više puta provjerava daljnje upute i izvršava primljene naredbe pomoću PowerShella.
Preuzimanje WhatsApp računa putem prijevara s QR kodovima
Akteri prijetnji također provode prijevare usmjerene na mobilne uređaje usmjerene na korisnike WhatsAppa. Žrtve se namamljuju na lažnu web stranicu koja tvrdi da je povezana s pakistanskim Ministarstvom obrane i potiče ih se da se pridruže lažnoj zajednici. Skeniranjem dobivenog QR koda povezuju se WhatsApp račun žrtve s WhatsApp Webom ili Desktopom pod kontrolom napadača. To omogućuje potpuni pristup chatovima i kontaktima, učinkovito omogućujući preuzimanje računa bez neposredne svijesti korisnika.
Strategija distribucije i ublažavanje rizika
GhostChat se distribuira isključivo izvan službenih tržišta aplikacija. Promovira se kao aplikacija za upoznavanje ili razmjenu poruka i oslanja se na taktike romantične prijevare kako bi nagovorio korisnike da ručno instaliraju APK i omoguće instalaciju iz nepoznatih izvora. Nakon instalacije, zlonamjerni softver odmah traži dopuštenja i pokreće tajne aktivnosti špijuniranja. Ove koordinirane kampanje kombiniraju društveni inženjering, špijunski softver i otmicu računa kako bi ugrozile mobilna i stolna okruženja. Budnost protiv neželjenih poveznica, alarmantnih skočnih prozora, neslužbenih aplikacija i neočekivanih QR kodova ostaje ključna za zaštitu osobnih podataka i korisničkih računa.
