Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program GhostChat mobil kártevő

GhostChat mobil kártevő

Mezo -ra Mobil rosszindulatú program-ben
Fordítás ide:

A GhostChat egy rosszindulatú Android alkalmazás, amely csevegő- vagy randiplatformként adja ki magát, miközben titokban kémprogramként működik. Elsődleges célja érzékeny információk gyűjtése a fertőzött eszközökről. Az elemzések azt mutatják, hogy a pakisztáni felhasználók a fő célpontok. Az alkalmazás azonnali eltávolítása erősen ajánlott, ha egy eszközön felfedezik, mivel a folyamatos jelenléte jelentősen növeli az adatlopás és a szélesebb körű kompromittálódás kockázatát.

Megtévesztő bevezetés és hamis hitelesítés

A telepítés után a GhostChat agresszívan kéri több eszköz engedélyeit. Miután megkapták, a felhasználók egy bejelentkezési felületet kapnak, amely látszólag érvényes hitelesítő adatokat kér. Ez a folyamat teljes mértékben csalárd, mivel a feltételezett hitelesítési adatok bele vannak kódolva az alkalmazásba, ahelyett, hogy egy legitim háttérszolgáltatáson keresztül ellenőriznék őket. A bejelentkezési lépés kizárólag a hitelesség illúziójának keltésére szolgál.

Manipulatív felhasználói interakció és WhatsApp átirányítás

A hamis bejelentkezést követően az alkalmazás számos női profilt jelenít meg képekkel, nevekkel és életkorokkal. Ezen profilok egyikéhez sem lehet hozzáférni. A velük való interakciós kísérletek során a felhasználóknak meg kell adniuk egy „feloldókódot”. Minden profil egy adott WhatsApp-számhoz van kötve, és a várt kód beírásával az alkalmazás automatikusan megnyitja a WhatsAppot, és beszélgetést kezdeményez az adott számmal, támogatva a romantikus átveréseket és a társadalmi manipulációt célzó tevékenységeket.

Csendes megfigyelés és folyamatos adatkiszivárgás

A GhostChat az indítás pillanatától kezdve, még a bejelentkezés előtt is rosszindulatú műveleteket hajt végre a háttérben. Figyelemmel kíséri az eszköz aktivitását, és a gyűjtött információkat egy távoli parancs- és vezérlő (C2) szerverre továbbítja. A rosszindulatú program rendszeresen átvizsgálja az eszközt új tartalmak után kutatva, automatikusan feltölti a fényképeket, és ötpercenként ellenőrzi az újonnan létrehozott vagy tárolt dokumentumokat. A gyűjtött adatok köre a következőket tartalmazza:

Eszközazonosítók, névjegyzékek, képek és dokumentumok, például PDF-ek, Word-, Excel- és PowerPoint-fájlok

Megosztott infrastruktúra és asztali fertőzési lánc

A GhostChat C2 infrastruktúrát további rosszindulatú komponensek terjesztésére is használják. Ezek között van egy ClickFixhez kapcsolódó DLL fájl, egy olyan technika, amelynek célja, hogy a felhasználókat kitalált utasítások követésével rávegyék a rosszindulatú programok futtatására. Ez a módszer a mobileszközökön túlra is kiterjeszti a fenyegetést, és lehetővé teszi az asztali rendszerek megfertőzését.

Megbízható személyazonosságok visszaélése hamis riasztásokon keresztül

A GhostChathez kapcsolódó ClickFix kampányok félrevezető weboldalakra és hamis biztonsági figyelmeztetésekre épülnek. A megfigyelt esetekben a támadók Pakisztán Számítógépes Vészhelyzeti Elhárító Csoportjának álcázzák magukat, riasztó üzeneteket jelenítve meg a nemzeti infrastruktúrát és a kormányzati hálózatokat fenyegető állítólagos fenyegetésekről. Az áldozatokat arra kérik, hogy kattintsanak a „Frissítés” gombra, amely elindítja a rosszindulatú DLL letöltését és végrehajtását. Aktiválás után a DLL rendszeradatokat, például a számítógép nevét és a felhasználónevet jelenti egy parancskiszolgálónak, ismételten ellenőrzi a további utasításokat, és végrehajtja a kapott parancsokat a PowerShell használatával.

WhatsApp fiók átvétele QR-kódos csalásokkal

A kibertámadások szereplői mobilközpontú csalásokat is folytatnak a WhatsApp-felhasználók ellen. Az áldozatokat egy hamis weboldalra csábítják, amely a pakisztáni védelmi minisztériummal való kapcsolatát állítja, és arra ösztönzik őket, hogy csatlakozzanak egy hamis közösséghez. A megadott QR-kód beolvasása az áldozat WhatsApp-fiókját a támadó irányítása alatt álló WhatsApp Webhez vagy Desktophoz kapcsolja. Ez teljes hozzáférést biztosít a csevegésekhez és a névjegyekhez, gyakorlatilag lehetővé téve a fiók átvételét a felhasználó azonnali tudomása nélkül.

Elosztási stratégia és kockázatcsökkentés

A GhostChat kizárólag hivatalos alkalmazáspiactereken kívül kerül terjesztésre. Társkereső vagy üzenetküldő alkalmazásként reklámozzák, és romantikus átverésekre épülő taktikákra támaszkodik, hogy rávegye a felhasználókat az APK manuális telepítésére és ismeretlen forrásokból történő telepítés engedélyezésére. A telepítés után a rosszindulatú program azonnal engedélyeket kér, és titkos kémkedési tevékenységeket indít. Ezek az összehangolt kampányok a társadalmi manipulációt, a kémprogramokat és a fiókeltérítést ötvözik, hogy mind a mobil, mind az asztali környezetet feltörjék. A kéretlen linkek, riasztó felugró ablakok, nem hivatalos alkalmazások és váratlan QR-kódok elleni éberség továbbra is kritikus fontosságú a személyes adatok és a felhasználói fiókok védelme érdekében.

Felkapott

IT biztonsági védelemmel kapcsolatos e-mailes átverés

Adathalászat, Spam
A sürgős biztonsági problémákra hivatkozó váratlan e-maileket mindig óvatosan kell kezelni. A kiberbűnözők gyakran kihasználják a félelmet és a sürgősséget, hogy költséges hibákra csábítsák a felhasználókat. Az úgynevezett „IT-biztonsági védelmi” e-mailek egyértelmű példái ennek a taktikának. Ezek az üzenetek nem kapcsolódnak semmilyen legitim vállalathoz, szervezethez vagy entitáshoz, és...

Legnézettebb

Betöltés...