GhostChat mobiele malware
GhostChat is een kwaadaardige Android-applicatie die zich voordoet als een chat- of datingplatform, maar in werkelijkheid als spyware functioneert. Het primaire doel is het verzamelen van gevoelige informatie van geïnfecteerde apparaten. Analyse wijst uit dat gebruikers in Pakistan de voornaamste doelwitten zijn. Het wordt ten zeerste aangeraden de applicatie onmiddellijk te verwijderen als deze op een apparaat wordt aangetroffen, aangezien de aanwezigheid ervan het risico op datadiefstal en verdere inbreuken aanzienlijk verhoogt.
Inhoudsopgave
Misleidend onboardingproces en valse authenticatie
Na de installatie vraagt GhostChat op agressieve wijze om meerdere apparaatmachtigingen. Zodra deze zijn verleend, krijgen gebruikers een inlogscherm te zien dat om geldige inloggegevens lijkt te vragen. Dit proces is volledig frauduleus, aangezien de zogenaamde authenticatiegegevens in de applicatie zelf zijn vastgelegd in plaats van te worden geverifieerd via een legitieme backend-service. De inlogstap dient uitsluitend om een schijn van authenticiteit te creëren.
Manipulatieve gebruikersinteractie en WhatsApp-omleiding
Na de nep-login toont de app talloze profielen van vrouwen met foto's, namen en leeftijden. Geen van deze profielen is daadwerkelijk toegankelijk. Pogingen om met ze te communiceren, vragen gebruikers om een 'ontgrendelingscode' in te voeren. Elk profiel is gekoppeld aan een specifiek WhatsApp-nummer en het invoeren van de code zorgt ervoor dat de app automatisch WhatsApp opent en een gesprek met dat nummer start. Dit ondersteunt romantische oplichting en social engineering.
Stille surveillance en continue data-exfiltratie
GhostChat voert vanaf het moment van opstarten kwaadaardige handelingen op de achtergrond uit, zelfs vóór de inlogfase. Het monitort de activiteit van het apparaat en verzendt de verzamelde informatie naar een externe command-and-control (C2) server. De malware scant het apparaat periodiek op nieuwe inhoud, uploadt automatisch foto's en controleert elke vijf minuten op nieuw aangemaakte of opgeslagen documenten. De verzamelde gegevens omvatten onder andere:
Apparaatidentificaties, contactlijsten, afbeeldingen en documenten zoals PDF-, Word-, Excel- en PowerPoint-bestanden.
Gedeelde infrastructuur en infectieketen via desktopcomputers
De GhostChat C2-infrastructuur wordt ook gebruikt om extra kwaadaardige componenten te verspreiden. Daaronder bevindt zich een DLL-bestand dat is gekoppeld aan ClickFix, een techniek die is ontworpen om gebruikers te misleiden en hen ertoe aan te zetten malware zelf uit te voeren door middel van verzonnen instructies. Deze methode breidt de dreiging uit tot buiten mobiele apparaten en maakt infectie van desktopsystemen mogelijk.
Misbruik van vertrouwde identiteiten door middel van valse waarschuwingen
ClickFix-campagnes die gelinkt zijn aan GhostChat maken gebruik van misleidende websites en valse beveiligingswaarschuwingen. In waargenomen gevallen doen aanvallers zich voor als het Pakistaanse Computer Emergency Response Team (CERT) en tonen ze alarmerende berichten over vermeende bedreigingen voor de nationale infrastructuur en overheidsnetwerken. Slachtoffers worden aangespoord om op een 'Update'-knop te klikken, wat de download en uitvoering van de kwaadaardige DLL start. Eenmaal actief, rapporteert de DLL systeemgegevens zoals de computernaam en gebruikersnaam aan een commandoserver, controleert herhaaldelijk op verdere instructies en voert ontvangen commando's uit met behulp van PowerShell.
Oplichting met het overnemen van WhatsApp-accounts via QR-codes
Oplichters voeren ook mobielgerichte oplichtingspraktijken uit die gericht zijn op WhatsApp-gebruikers. Slachtoffers worden naar een frauduleuze website gelokt die beweert verbonden te zijn met het Pakistaanse Ministerie van Defensie en worden aangemoedigd om lid te worden van een nepcommunity. Door een QR-code te scannen, wordt het WhatsApp-account van het slachtoffer gekoppeld aan WhatsApp Web of Desktop, dat vervolgens onder controle van de aanvaller komt. Dit geeft de aanvaller volledige toegang tot chats en contacten, waardoor het account in feite kan worden overgenomen zonder dat de gebruiker dit direct merkt.
Distributiestrategie en risicobeperking
GhostChat wordt uitsluitend buiten de officiële appwinkels verspreid. Het wordt gepromoot als een dating- of berichtenapp en maakt gebruik van misleidende tactieken om gebruikers over te halen de APK handmatig te installeren en installatie vanuit onbekende bronnen toe te staan. Eenmaal geïnstalleerd, vraagt de malware direct om machtigingen en start heimelijke spionageactiviteiten. Deze gecoördineerde campagnes combineren social engineering, spyware en accountkaping om zowel mobiele als desktopomgevingen te compromitteren. Waakzaamheid tegen ongevraagde links, alarmerende pop-ups, onofficiële apps en onverwachte QR-codes blijft cruciaal voor de bescherming van persoonlijke gegevens en gebruikersaccounts.
