Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie GhostChat Mobile Malware

GhostChat Mobile Malware

Do Mezo w Mobilne złośliwe oprogramowanie
Przetłumacz na:

GhostChat to złośliwa aplikacja na Androida, która podszywa się pod platformę czatu lub randkową, a jednocześnie działa jako oprogramowanie szpiegujące. Jej głównym celem jest zbieranie poufnych informacji z zainfekowanych urządzeń. Analiza wskazuje, że głównym celem są użytkownicy z Pakistanu. Zdecydowanie zaleca się natychmiastowe usunięcie aplikacji w przypadku jej wykrycia na urządzeniu, ponieważ jej dalsza obecność znacznie zwiększa ryzyko kradzieży danych i szerszego zagrożenia.

Oszukańcze wdrażanie i fałszywe uwierzytelnianie

Po instalacji GhostChat agresywnie żąda wielu uprawnień do urządzenia. Po ich przyznaniu, użytkownikom wyświetla się interfejs logowania, który pozornie wymaga podania prawidłowych danych uwierzytelniających. Proces ten jest całkowicie oszukańczy, ponieważ rzekome dane uwierzytelniające są zakodowane na stałe w aplikacji, a nie weryfikowane przez legalną usługę zaplecza. Etap logowania ma na celu jedynie stworzenie iluzji autentyczności.

Manipulacyjna interakcja użytkownika i przekierowanie WhatsApp

Po fałszywym logowaniu aplikacja wyświetla liczne profile kobiet zawierające zdjęcia, imiona i wiek. Żaden z tych profili nie jest w rzeczywistości dostępny. Próby interakcji z nimi wymagają podania „kodu odblokowującego”. Każdy profil jest powiązany z konkretnym numerem WhatsApp, a podanie oczekiwanego kodu powoduje automatyczne otwarcie WhatsApp i zainicjowanie rozmowy z tym numerem, co sprzyja oszustwom matrymonialnym i działaniom socjotechnicznym.

Cichy nadzór i ciągła eksfiltracja danych

GhostChat przeprowadza złośliwe operacje w tle od momentu uruchomienia, nawet przed etapem logowania. Monitoruje aktywność urządzenia i przesyła zebrane informacje do zdalnego serwera dowodzenia (C2). Szkodliwe oprogramowanie okresowo skanuje urządzenie w poszukiwaniu nowej zawartości, automatycznie przesyłając zdjęcia i sprawdzając nowo utworzone lub zapisane dokumenty co pięć minut. Zakres zbieranych danych obejmuje:

Identyfikatory urządzeń, listy kontaktów, obrazy i dokumenty, takie jak pliki PDF, Word, Excel i PowerPoint

Wspólna infrastruktura i łańcuch infekcji pulpitu

Infrastruktura GhostChat C2 jest również wykorzystywana do dystrybucji dodatkowych złośliwych komponentów. Wśród nich znajduje się plik DLL powiązany z ClickFix, techniką mającą na celu nakłonienie użytkowników do samodzielnego uruchomienia złośliwego oprogramowania poprzez wykonywanie sfabrykowanych instrukcji. Ta metoda rozszerza zagrożenie poza urządzenia mobilne i umożliwia infekcję komputerów stacjonarnych.

Nadużywanie zaufanych tożsamości poprzez fałszywe alerty

Kampanie ClickFix powiązane z GhostChat opierają się na wprowadzających w błąd stronach internetowych i fałszywych ostrzeżeniach bezpieczeństwa. W zaobserwowanych przypadkach atakujący podszywają się pod pakistański Zespół Reagowania na Kryzysy Komputerowe (CAT), wyświetlając alarmujące komunikaty o rzekomych zagrożeniach dla infrastruktury krajowej i sieci rządowych. Ofiary są proszone o kliknięcie przycisku „Aktualizuj”, który inicjuje pobranie i uruchomienie złośliwej biblioteki DLL. Po aktywacji biblioteka DLL raportuje dane systemowe, takie jak nazwa komputera i użytkownika, do serwera poleceń, wielokrotnie sprawdza dalsze instrukcje i wykonuje otrzymane polecenia za pomocą programu PowerShell.

Oszustwa związane z przejęciem konta WhatsApp za pomocą kodu QR

Aktorzy zagrożeń przeprowadzają również oszustwa mobilne, skierowane do użytkowników WhatsApp. Ofiary są zwabiane na fałszywą stronę internetową, podszywającą się pod Ministerstwo Obrony Pakistanu, i zachęcane do dołączenia do fałszywej społeczności. Zeskanowanie podanego kodu QR łączy konto ofiary w WhatsApp z WhatsApp Web lub WhatsApp Desktop, kontrolowanym przez atakującego. Zapewnia to pełny dostęp do czatów i kontaktów, umożliwiając przejęcie konta bez wiedzy użytkownika.

Strategia dystrybucji i ograniczanie ryzyka

GhostChat jest dystrybuowany wyłącznie poza oficjalnymi platformami aplikacji. Jest promowany jako aplikacja randkowa lub komunikator i wykorzystuje taktykę oszustwa matrymonialnego, aby nakłonić użytkowników do ręcznej instalacji APK i umożliwienia instalacji z nieznanych źródeł. Po zainstalowaniu złośliwe oprogramowanie natychmiast żąda uprawnień i inicjuje ukryte działania szpiegowskie. Te skoordynowane kampanie łączą socjotechnikę, oprogramowanie szpiegujące i przechwytywanie kont, aby zainfekować zarówno środowiska mobilne, jak i stacjonarne. Czujność wobec niechcianych linków, alarmujących wyskakujących okienek, nieoficjalnych aplikacji i nieoczekiwanych kodów QR pozostaje kluczowa dla ochrony danych osobowych i kont użytkowników.

Popularne

Oszustwo związane z ochroną bezpieczeństwa IT za...

Phishing, Spam
Nieoczekiwane e-maile z doniesieniami o pilnych problemach bezpieczeństwa należy zawsze traktować z ostrożnością. Cyberprzestępcy często wykorzystują strach i poczucie pilności, aby nakłonić użytkowników do popełnienia kosztownych błędów. Tak zwane e-maile z informacjami o „ochronie bezpieczeństwa IT” są wyraźnym przykładem tej taktyki. Wiadomości te nie są powiązane z żadnymi legalnymi...

Najczęściej oglądane

Ładowanie...