„GhostChat“ mobiliųjų įrenginių kenkėjiška programa
„GhostChat“ yra kenkėjiška „Android“ programa, kuri prisistato kaip pokalbių ar pažinčių platforma, tačiau slapta veikia kaip šnipinėjimo programa. Jos pagrindinis tikslas – rinkti neskelbtiną informaciją iš užkrėstų įrenginių. Analizė rodo, kad pagrindiniai taikiniai yra Pakistano vartotojai. Jei programa aptinkama įrenginyje, primygtinai rekomenduojama ją nedelsiant pašalinti, nes tolesnis jos buvimas žymiai padidina duomenų vagystės ir platesnio masto įsilaužimo riziką.
Turinys
Apgaulingas prisijungimas ir suklastota autentifikacija
Įdiegus „GhostChat“, programa agresyviai prašo kelių įrenginių leidimų. Gavus leidimus, vartotojams pateikiama prisijungimo sąsaja, kurioje, regis, reikalaujama galiojančių prisijungimo duomenų. Šis procesas yra visiškai apgaulingas, nes tariami autentifikavimo duomenys yra užkoduoti programoje, o ne patvirtinti naudojant teisėtą serverio paslaugą. Prisijungimo veiksmas egzistuoja tik tam, kad būtų sukurta autentiškumo iliuzija.
Manipuliacinė vartotojo sąveika ir „WhatsApp“ peradresavimas
Po netikro prisijungimo programėlėje rodoma daugybė moterų profilių su nuotraukomis, vardais ir amžiumi. Nė vienas iš šių profilių iš tikrųjų nėra pasiekiamas. Bandant su jomis bendrauti, vartotojai raginami įvesti „atrakinimo kodą“. Kiekvienas profilis yra susietas su konkrečiu „WhatsApp“ numeriu, o įvedus laukiamą kodą, programėlė automatiškai atidaro „WhatsApp“ ir pradeda pokalbį su tuo numeriu, taip palaikydama romantinę aferą ir socialinės inžinerijos veiklą.
Tylioji stebėsena ir nuolatinis duomenų išgavimas
„GhostChat“ vykdo kenkėjiškas operacijas fone nuo pat paleidimo momento, dar prieš prisijungimo etapą. Jis stebi įrenginio veiklą ir perduoda surinktą informaciją į nuotolinį komandų ir valdymo (C2) serverį. Kenkėjiška programa periodiškai nuskaito įrenginį, ieškodama naujo turinio, automatiškai įkeldama nuotraukas ir kas penkias minutes tikrindama, ar nėra naujai sukurtų ar išsaugotų dokumentų. Surinktų duomenų apimtis apima:
Įrenginių identifikatoriai, kontaktų sąrašai, vaizdai ir dokumentai, pvz., PDF, „Word“, „Excel“ ir „PowerPoint“ failai
Bendra infrastruktūra ir darbalaukio užkrėtimo grandinė
„GhostChat C2“ infrastruktūra taip pat naudojama platinti papildomus kenkėjiškus komponentus. Tarp jų yra DLL failas, susietas su „ClickFix“ – technika, skirta apgauti vartotojus, kad jie patys paleistų kenkėjiškas programas vadovaudamiesi sugalvotomis instrukcijomis. Šis metodas išplečia grėsmę už mobiliųjų įrenginių ribų ir leidžia užkrėsti stalinių kompiuterių sistemas.
Piktnaudžiavimas patikimomis tapatybėmis naudojant netikrus įspėjimus
Su „GhostChat“ susijusios „ClickFix“ kampanijos remiasi klaidinančiomis svetainėmis ir suklastotais saugumo įspėjimais. Stebėtais atvejais užpuolikai apsimeta Pakistano kompiuterinių incidentų reagavimo komanda, rodydami nerimą keliančius pranešimus apie tariamas grėsmes nacionalinei infrastruktūrai ir vyriausybės tinklams. Aukos raginamos spustelėti mygtuką „Atnaujinti“, kuris inicijuoja kenkėjiškos DLL atsisiuntimą ir vykdymą. Kai DLL tampa aktyvus, ji praneša sistemos informaciją, pvz., kompiuterio pavadinimą ir vartotojo vardą, komandų serveriui, pakartotinai tikrina, ar nėra tolesnių nurodymų, ir vykdo gautas komandas naudodama „PowerShell“.
„WhatsApp“ paskyros užgrobimas naudojant QR kodų sukčiavimą
Kibernetiniai nusikaltėliai taip pat vykdo mobiliuosiuose įrenginiuose vykdomas sukčiavimo schemas, nukreiptas prieš „WhatsApp“ naudotojus. Aukos viliojamos į apgaulingą svetainę, kuri tvirtina esanti susijusi su Pakistano gynybos ministerija, ir raginamos prisijungti prie netikros bendruomenės. Nuskenavus pateiktą QR kodą, aukos „WhatsApp“ paskyra susiejama su užpuoliko kontroliuojama „WhatsApp Web“ arba „Desktop“ versija. Tai suteikia visišką prieigą prie pokalbių ir kontaktų, iš esmės leidžiant perimti paskyrą be tiesioginio naudotojo įspėjimo.
Platinimo strategija ir rizikos mažinimas
„GhostChat“ platinama išskirtinai ne oficialiose programėlių prekyvietėse. Ji reklamuojama kaip pažinčių ar susirašinėjimo programa ir pasitelkia romantinių sukčių taktiką, kad įtikintų vartotojus rankiniu būdu įdiegti APK ir įgalinti diegimą iš nežinomų šaltinių. Įdiegus kenkėjiška programa nedelsdama prašo leidimų ir pradeda slaptą šnipinėjimo veiklą. Šios koordinuotos kampanijos apima socialinę inžineriją, šnipinėjimo programas ir paskyrų užgrobimą, siekiant pakenkti tiek mobiliajai, tiek darbalaukio aplinkai. Budrumas dėl nepageidaujamų nuorodų, nerimą keliančių iššokančių langų, neoficialių programėlių ir netikėtų QR kodų išlieka labai svarbus siekiant apsaugoti asmens duomenis ir vartotojų paskyras.
