GhostChat mobil skadelig programvare
GhostChat er en ondsinnet Android-applikasjon som presenterer seg som en chat- eller datingplattform, samtidig som den i hemmelighet fungerer som spionprogram. Hovedformålet er å samle sensitiv informasjon fra infiserte enheter. Analyser indikerer at brukere i Pakistan er hovedmålene. Umiddelbar fjerning anbefales på det sterkeste hvis applikasjonen oppdages på en enhet, ettersom fortsatt tilstedeværelse øker risikoen for datatyveri og bredere kompromisser betydelig.
Innholdsfortegnelse
Villedende onboarding og falsk autentisering
Etter installasjon ber GhostChat aggressivt om tillatelser fra flere enheter. Når tillatelsene er gitt, blir brukerne presentert for et innloggingsgrensesnitt som ser ut til å kreve gyldig legitimasjon. Denne prosessen er fullstendig svindel, ettersom de antatte autentiseringsdetaljene er hardkodet inn i applikasjonen i stedet for å bli verifisert gjennom en legitim backend-tjeneste. Innloggingstrinnet eksisterer utelukkende for å skape en illusjon av autentisitet.
Manipulerende brukerinteraksjon og WhatsApp-omdirigering
Etter den falske innloggingen viser appen en rekke kvinnelige profiler som inneholder bilder, navn og alder. Ingen av disse profilene er faktisk tilgjengelige. Forsøk på å samhandle med dem ber brukerne om å taste inn en «opplåsingskode». Hver profil er knyttet til et spesifikt WhatsApp-nummer, og å taste inn den forventede koden fører til at appen automatisk åpner WhatsApp og starter en samtale med det nummeret, noe som støtter romantikksvindel og sosial manipulering.
Stille overvåking og kontinuerlig datautvinning
GhostChat utfører ondsinnede operasjoner i bakgrunnen fra det øyeblikket den startes, selv før påloggingsfasen. Den overvåker enhetsaktivitet og overfører innsamlet informasjon til en ekstern kommando-og-kontroll-server (C2). Skadevaren skanner regelmessig enheten for nytt innhold, laster opp bilder automatisk og sjekker etter nyopprettede eller lagrede dokumenter hvert femte minutt. Omfanget av innsamlede data inkluderer:
Enhetsidentifikatorer, kontaktlister, bilder og dokumenter som PDF-er, Word-, Excel- og PowerPoint-filer
Delt infrastruktur og infeksjonskjede for datamaskiner
GhostChat C2-infrastrukturen brukes også til å distribuere ytterligere skadelige komponenter. Blant disse er en DLL-fil tilknyttet ClickFix, en teknikk som er utviklet for å lure brukere til å kjøre skadelig programvare selv ved å følge fabrikkerte instruksjoner. Denne metoden utvider trusselen utover mobile enheter og muliggjør infeksjon av stasjonære systemer.
Misbruk av pålitelige identiteter gjennom falske varsler
ClickFix-kampanjer knyttet til GhostChat er avhengige av villedende nettsteder og forfalskede sikkerhetsadvarsler. I observerte tilfeller utgir angriperne seg for å være Pakistans beredskapsteam for databeredskap, og viser alarmerende meldinger om påståtte trusler mot nasjonal infrastruktur og offentlige nettverk. Ofrene oppfordres til å klikke på en «Oppdater»-knapp, som starter nedlastingen og kjøringen av den skadelige DLL-filen. Når den er aktiv, rapporterer DLL-filen systemdetaljer som datamaskinnavn og brukernavn til en kommandoserver, sjekker gjentatte ganger for ytterligere instruksjoner og utfører mottatte kommandoer ved hjelp av PowerShell.
Overtakelse av WhatsApp-konto via QR-kodesvindel
Trusselaktører utfører også mobilbaserte svindelforsøk rettet mot WhatsApp-brukere. Ofrene lokkes til et svindelnettsted som hevder å være tilknyttet Pakistans forsvarsdepartement og oppfordres til å bli med i et falskt fellesskap. Skanning av en oppgitt QR-kode kobler offerets WhatsApp-konto til WhatsApp Web eller Desktop under angriperens kontroll. Dette gir full tilgang til chatter og kontakter, noe som effektivt tillater kontoovertakelse uten brukerens umiddelbare oppmerksomhet.
Distribusjonsstrategi og risikoredusering
GhostChat distribueres utelukkende utenfor offisielle app-markedsplasser. Det markedsføres som en dating- eller meldingsapplikasjon og er avhengig av romantikksvindeltaktikker for å overtale brukere til å installere APK-en manuelt og aktivere installasjon fra ukjente kilder. Når den er installert, ber skadevaren umiddelbart om tillatelser og starter skjulte spionasjeaktiviteter. Disse koordinerte kampanjene kombinerer sosial manipulering, spionprogrammer og kontokapring for å kompromittere både mobil- og skrivebordsmiljøer. Årvåkenhet mot uønskede lenker, alarmerende popup-vinduer, uoffisielle apper og uventede QR-koder er fortsatt kritisk for å beskytte personopplysninger og brukerkontoer.
