Malware mobile GhostChat
GhostChat è un'applicazione Android dannosa che si presenta come una chat o una piattaforma di incontri, ma opera segretamente come spyware. Il suo scopo principale è raccogliere informazioni sensibili dai dispositivi infetti. Le analisi indicano che gli utenti in Pakistan sono i principali obiettivi. Si consiglia vivamente la rimozione immediata dell'applicazione se viene rilevata su un dispositivo, poiché la sua presenza continuativa aumenta significativamente il rischio di furto di dati e di compromissione più ampia.
Sommario
Onboarding ingannevole e autenticazione falsa
Dopo l'installazione, GhostChat richiede in modo aggressivo le autorizzazioni per più dispositivi. Una volta concesse, agli utenti viene presentata un'interfaccia di login che apparentemente richiede credenziali valide. Questo processo è del tutto fraudolento, poiché i presunti dati di autenticazione sono codificati nell'applicazione anziché essere verificati tramite un servizio di backend legittimo. La fase di login esiste solo per creare un'illusione di autenticità.
Interazione manipolativa dell’utente e reindirizzamento di WhatsApp
Dopo il falso login, l'app mostra numerosi profili femminili contenenti immagini, nomi ed età. Nessuno di questi profili è effettivamente accessibile. I tentativi di interagire con essi richiedono agli utenti di inserire un "codice di sblocco". Ogni profilo è associato a uno specifico numero WhatsApp e, inserendo il codice previsto, l'app apre automaticamente WhatsApp e avvia una conversazione con quel numero, supportando così truffe sentimentali e attività di ingegneria sociale.
Sorveglianza silenziosa ed esfiltrazione continua dei dati
GhostChat esegue operazioni dannose in background dal momento del suo avvio, anche prima della fase di accesso. Monitora l'attività del dispositivo e trasmette le informazioni raccolte a un server remoto di comando e controllo (C2). Il malware esegue periodicamente la scansione del dispositivo alla ricerca di nuovi contenuti, caricando automaticamente foto e verificando la presenza di nuovi documenti creati o archiviati ogni cinque minuti. L'ambito dei dati raccolti include:
Identificatori di dispositivi, elenchi di contatti, immagini e documenti come file PDF, Word, Excel e PowerPoint
Infrastruttura condivisa e catena di infezione del desktop
L'infrastruttura C2 di GhostChat viene utilizzata anche per distribuire ulteriori componenti dannosi. Tra questi, un file DLL associato a ClickFix, una tecnica progettata per indurre gli utenti a eseguire autonomamente il malware seguendo istruzioni contraffatte. Questo metodo estende la minaccia oltre i dispositivi mobili e consente l'infezione dei sistemi desktop.
Abuso di identità attendibili tramite falsi avvisi
Le campagne ClickFix collegate a GhostChat si basano su siti web fuorvianti e avvisi di sicurezza contraffatti. Nei casi osservati, gli aggressori si spacciano per il Computer Emergency Response Team del Pakistan, visualizzando messaggi allarmanti su presunte minacce alle infrastrutture nazionali e alle reti governative. Le vittime vengono invitate a cliccare sul pulsante "Aggiorna", che avvia il download e l'esecuzione della DLL dannosa. Una volta attiva, la DLL segnala dettagli di sistema come il nome del computer e il nome utente a un server di comando, verifica ripetutamente la presenza di ulteriori istruzioni ed esegue i comandi ricevuti tramite PowerShell.
Truffe per l’appropriazione indebita dell’account WhatsApp tramite codice QR
Gli autori delle minacce conducono anche truffe incentrate sui dispositivi mobili, mirate agli utenti di WhatsApp. Le vittime vengono attirate su un sito web fraudolento che dichiara di essere affiliato al Ministero della Difesa pakistano e incoraggiate a unirsi a una finta community. La scansione di un codice QR fornito collega l'account WhatsApp della vittima a WhatsApp Web o Desktop, sotto il controllo dell'aggressore. Ciò garantisce l'accesso completo a chat e contatti, consentendo di fatto l'appropriazione dell'account senza che l'utente se ne accorga immediatamente.
Strategia di distribuzione e mitigazione del rischio
GhostChat è distribuito esclusivamente al di fuori degli store ufficiali. Viene promosso come un'applicazione di incontri o messaggistica e si basa su tattiche di truffa sentimentale per convincere gli utenti a installare manualmente l'APK e abilitare l'installazione da fonti sconosciute. Una volta installato, il malware richiede immediatamente le autorizzazioni e avvia attività di spionaggio segrete. Queste campagne coordinate combinano ingegneria sociale, spyware e dirottamento di account per compromettere sia gli ambienti mobili che quelli desktop. La vigilanza contro link indesiderati, pop-up allarmanti, app non ufficiali e codici QR inaspettati rimane fondamentale per la protezione dei dati personali e degli account utente.
