Perisian Hasad Mudah Alih GhostChat
GhostChat ialah aplikasi Android berniat jahat yang menampilkan dirinya sebagai platform sembang atau temu janji sambil beroperasi secara rahsia sebagai perisian intip. Tujuan utamanya adalah untuk mendapatkan maklumat sensitif daripada peranti yang dijangkiti. Analisis menunjukkan bahawa pengguna di Pakistan adalah sasaran utama. Penyingkiran segera amat dinasihatkan jika aplikasi tersebut ditemui pada peranti, kerana kehadiran berterusan meningkatkan risiko kecurian data dan pencerobohan yang lebih luas dengan ketara.
Isi kandungan
Onboarding yang Menipu dan Pengesahan Palsu
Selepas pemasangan, GhostChat secara agresif meminta berbilang kebenaran peranti. Sebaik sahaja diberikan, pengguna akan diberikan antara muka log masuk yang nampaknya memerlukan kelayakan yang sah. Proses ini sepenuhnya palsu, kerana butiran pengesahan yang sepatutnya dikodkan ke dalam aplikasi dan bukannya disahkan melalui perkhidmatan backend yang sah. Langkah log masuk wujud semata-mata untuk mencipta ilusi kesahihan.
Interaksi Pengguna Manipulatif dan Pengalihan WhatsApp
Berikutan log masuk palsu, aplikasi tersebut memaparkan pelbagai profil wanita yang mengandungi imej, nama dan umur. Tiada satu pun daripada profil ini yang boleh diakses. Percubaan untuk berinteraksi dengannya mendorong pengguna memasukkan 'kod buka kunci'. Setiap profil terikat pada nombor WhatsApp tertentu, dan memasukkan kod yang dijangkakan menyebabkan aplikasi membuka WhatsApp secara automatik dan memulakan perbualan dengan nombor tersebut, sekali gus menyokong aktiviti penipuan percintaan dan kejuruteraan sosial.
Pengawasan Senyap dan Pengekstrakan Data Berterusan
GhostChat menjalankan operasi berniat jahat di latar belakang dari saat ia dilancarkan, malah sebelum peringkat log masuk. Ia memantau aktiviti peranti dan menghantar maklumat yang dikumpul ke pelayan arahan dan kawalan jauh (C2). Malware ini mengimbas peranti secara berkala untuk kandungan baharu, memuat naik foto secara automatik dan menyemak dokumen yang baru dibuat atau disimpan setiap lima minit. Skop data yang dikumpul termasuk:
Pengecam peranti, senarai kenalan, imej dan dokumen seperti fail PDF, Word, Excel dan PowerPoint
Infrastruktur Kongsi dan Rantaian Jangkitan Desktop
Infrastruktur GhostChat C2 juga digunakan untuk mengedarkan komponen berniat jahat tambahan. Antaranya ialah fail DLL yang dikaitkan dengan ClickFix, satu teknik yang direka untuk memperdaya pengguna agar melaksanakan perisian hasad sendiri dengan mengikuti arahan palsu. Kaedah ini meluaskan ancaman melangkaui peranti mudah alih dan membolehkan jangkitan sistem desktop.
Penyalahgunaan Identiti Dipercayai Melalui Amaran Palsu
Kempen ClickFix yang dikaitkan dengan GhostChat bergantung pada laman web yang mengelirukan dan amaran keselamatan palsu. Dalam kes yang diperhatikan, penyerang menyamar sebagai Pasukan Tindak Balas Kecemasan Komputer Pakistan, memaparkan mesej yang membimbangkan tentang dakwaan ancaman terhadap infrastruktur negara dan rangkaian kerajaan. Mangsa digesa untuk mengklik butang 'Kemas Kini', yang memulakan muat turun dan pelaksanaan DLL yang berniat jahat. Setelah aktif, DLL melaporkan butiran sistem seperti nama komputer dan nama pengguna kepada pelayan arahan, berulang kali menyemak arahan selanjutnya dan melaksanakan arahan yang diterima menggunakan PowerShell.
Pengambilalihan Akaun WhatsApp melalui Penipuan Kod QR
Pelaku ancaman juga menjalankan penipuan berpusatkan mudah alih yang disasarkan kepada pengguna WhatsApp. Mangsa diumpan ke laman web palsu yang mendakwa mempunyai kaitan dengan Kementerian Pertahanan Pakistan dan digalakkan untuk menyertai komuniti palsu. Mengimbas kod QR yang diberikan akan menghubungkan akaun WhatsApp mangsa ke WhatsApp Web atau Desktop di bawah kawalan penyerang. Ini memberikan akses penuh kepada sembang dan kenalan, sekali gus membolehkan pengambilalihan akaun tanpa disedari pengguna dengan segera.
Strategi Pengedaran dan Pengurangan Risiko
GhostChat diedarkan secara eksklusif di luar pasaran aplikasi rasmi. Ia dipromosikan sebagai aplikasi temu janji atau pesanan dan bergantung pada taktik penipuan percintaan untuk memujuk pengguna memasang APK secara manual dan mendayakan pemasangan daripada sumber yang tidak diketahui. Setelah dipasang, perisian hasad akan segera meminta kebenaran dan memulakan aktiviti pengintipan rahsia. Kempen yang diselaraskan ini menggabungkan kejuruteraan sosial, perisian intip dan rampasan akaun untuk menjejaskan persekitaran mudah alih dan desktop. Kewaspadaan terhadap pautan yang tidak diminta, tetingkap timbul yang membimbangkan, aplikasi tidak rasmi dan kod QR yang tidak dijangka kekal penting untuk melindungi data peribadi dan akaun pengguna.
