GhostChat mobilo ierīču ļaunprogrammatūra
GhostChat ir ļaunprātīga Android lietojumprogramma, kas sevi pozicionē kā tērzēšanas vai iepazīšanās platformu, vienlaikus slepeni darbojoties kā spiegprogrammatūra. Tās galvenais mērķis ir iegūt sensitīvu informāciju no inficētām ierīcēm. Analīze liecina, ka galvenie mērķi ir lietotāji Pakistānā. Ja lietojumprogramma tiek atklāta ierīcē, tā ir stingri ieteicams nekavējoties noņemt, jo turpmāka klātbūtne ievērojami palielina datu zādzības un plašākas apdraudējuma risku.
Satura rādītājs
Maldinoša reģistrēšanās un viltota autentifikācija
Pēc instalēšanas GhostChat agresīvi pieprasa vairāku ierīču atļaujas. Kad tās ir piešķirtas, lietotājiem tiek parādīta pieteikšanās saskarne, kurā, šķiet, ir nepieciešami derīgi akreditācijas dati. Šis process ir pilnīgi krāpniecisks, jo it kā autentifikācijas dati ir iekodēti lietojumprogrammā, nevis pārbaudīti, izmantojot likumīgu aizmugursistēmas pakalpojumu. Pieteikšanās darbība pastāv tikai autentiskuma ilūzijas radīšanai.
Manipulējoša lietotāja mijiedarbība un WhatsApp pāradresācija
Pēc viltus pieteikšanās lietotnē tiek parādīti daudzi sieviešu profili ar attēliem, vārdiem un vecumu. Nevienam no šiem profiliem faktiski nav piekļuves. Mēģinājumi ar viņiem mijiedarboties liek lietotājiem ievadīt “atbloķēšanas kodu”. Katrs profils ir piesaistīts konkrētam WhatsApp numuram, un, ievadot paredzēto kodu, lietotne automātiski atver WhatsApp un uzsāk sarunu ar šo numuru, tādējādi atbalstot romantisku krāpniecību un sociālās inženierijas aktivitātes.
Klusa novērošana un nepārtraukta datu izvilkšana
GhostChat veic ļaunprātīgas darbības fonā no brīža, kad tas tiek palaists, pat pirms pieteikšanās posma. Tas uzrauga ierīces darbību un pārsūta apkopoto informāciju uz attālo komandu un vadības (C2) serveri. Ļaunprogrammatūra periodiski skenē ierīci, meklējot jaunu saturu, automātiski augšupielādējot fotoattēlus un ik pēc piecām minūtēm pārbaudot, vai nav jaunizveidotu vai saglabātu dokumentu. Apkopoto datu apjoms ietver:
Ierīču identifikatori, kontaktpersonu saraksti, attēli un dokumenti, piemēram, PDF, Word, Excel un PowerPoint faili
Koplietota infrastruktūra un darbvirsmas inficēšanas ķēde
GhostChat C2 infrastruktūra tiek izmantota arī papildu ļaunprātīgu komponentu izplatīšanai. Starp tiem ir DLL fails, kas saistīts ar ClickFix — metodi, kas paredzēta, lai maldinātu lietotājus, liekot viņiem pašiem izpildīt ļaunprogrammatūru, izpildot safabricētas instrukcijas. Šī metode paplašina draudus ārpus mobilajām ierīcēm un ļauj inficēt galddatoru sistēmas.
Uzticamu identitāšu ļaunprātīga izmantošana, izmantojot viltus brīdinājumus
Ar GhostChat saistītās ClickFix kampaņas balstās uz maldinošām tīmekļa vietnēm un viltotiem drošības brīdinājumiem. Novērotajos gadījumos uzbrucēji izliekas par Pakistānas datorapdraudējumu reaģēšanas komandu, parādot satraucošus ziņojumus par iespējamiem draudiem valsts infrastruktūrai un valdības tīkliem. Cietušie tiek aicināti noklikšķināt uz pogas “Atjaunināt”, kas sāk ļaunprātīgā DLL lejupielādi un izpildi. Kad DLL ir aktīvs, tas ziņo komandu serverim par sistēmas informāciju, piemēram, datora nosaukumu un lietotājvārdu, atkārtoti pārbauda turpmākos norādījumus un izpilda saņemtās komandas, izmantojot PowerShell.
WhatsApp konta pārņemšana, izmantojot QR koda krāpniecību
Draudu izpildītāji veic arī mobilajām ierīcēm paredzētas krāpniecības, kas vērstas pret WhatsApp lietotājiem. Upuri tiek pievilināti uz krāpniecisku vietni, kas apgalvo par saistību ar Pakistānas Aizsardzības ministriju, un tiek mudināti pievienoties viltus kopienai. Noskenējot sniegto QR kodu, upura WhatsApp konts tiek savienots ar WhatsApp Web vai Desktop, kas atrodas uzbrucēja kontrolē. Tas piešķir pilnīgu piekļuvi tērzēšanai un kontaktiem, faktiski ļaujot pārņemt kontu bez lietotāja tūlītējas ziņas.
Izplatīšanas stratēģija un riska mazināšana
GhostChat tiek izplatīts tikai ārpus oficiālajām lietotņu tirdzniecības vietām. Tā tiek reklamēta kā iepazīšanās vai ziņojumapmaiņas lietotne un balstās uz romantisku attiecību krāpniecības taktiku, lai pārliecinātu lietotājus manuāli instalēt APK failu un iespējot instalēšanu no nezināmiem avotiem. Pēc instalēšanas ļaunprogrammatūra nekavējoties pieprasa atļaujas un sāk slepenas spiegošanas darbības. Šīs koordinētās kampaņas apvieno sociālo inženieriju, spiegprogrammatūru un kontu nolaupīšanu, lai apdraudētu gan mobilo, gan datoru vidi. Modrība pret nevēlamām saitēm, satraucošiem uznirstošajiem logiem, neoficiālām lietotnēm un negaidītiem QR kodiem joprojām ir kritiski svarīga personas datu un lietotāju kontu aizsardzībai.
