Programe malware GhostChat pentru mobil
GhostChat este o aplicație Android rău intenționată care se prezintă ca o platformă de chat sau dating, funcționând în secret ca spyware. Scopul său principal este de a colecta informații sensibile de pe dispozitivele infectate. Analizele indică faptul că utilizatorii din Pakistan sunt principalele ținte. Eliminarea imediată este recomandată insistent dacă aplicația este descoperită pe un dispozitiv, deoarece prezența continuă crește semnificativ riscul de furt de date și compromitere pe scară largă.
Cuprins
Înregistrare înșelătoare și autentificare falsă
După instalare, GhostChat solicită agresiv permisiuni pentru mai multe dispozitive. Odată acordate, utilizatorilor li se prezintă o interfață de conectare care pare să necesite acreditări valide. Acest proces este complet fraudulos, deoarece presupusele detalii de autentificare sunt codificate în aplicație, în loc să fie verificate printr-un serviciu backend legitim. Pasul de conectare există exclusiv pentru a crea o iluzie de autenticitate.
Interacțiune manipulativă cu utilizatorul și redirecționare WhatsApp
În urma autentificării false, aplicația afișează numeroase profiluri feminine care conțin imagini, nume și vârste. Niciunul dintre aceste profiluri nu este de fapt accesibil. Încercările de a interacționa cu ele îi determină pe utilizatori să introducă un „cod de deblocare”. Fiecare profil este legat de un anumit număr WhatsApp, iar introducerea codului așteptat face ca aplicația să deschidă automat WhatsApp și să inițieze o conversație cu acel număr, susținând escrocheriile romantice și activitățile de inginerie socială.
Supraveghere silențioasă și exfiltrare continuă a datelor
GhostChat efectuează operațiuni rău intenționate în fundal din momentul lansării, chiar înainte de etapa de conectare. Acesta monitorizează activitatea dispozitivului și transmite informațiile colectate către un server de comandă și control (C2) la distanță. Programul malware scanează periodic dispozitivul pentru conținut nou, încărcând automat fotografii și verificând documentele nou create sau stocate la fiecare cinci minute. Domeniul de aplicare al datelor colectate include:
Identificatori de dispozitive, liste de contacte, imagini și documente precum fișiere PDF, Word, Excel și PowerPoint
Infrastructură partajată și lanț de infecții pentru desktopuri
Infrastructura GhostChat C2 este utilizată și pentru a distribui componente malițioase suplimentare. Printre acestea se numără un fișier DLL asociat cu ClickFix, o tehnică concepută pentru a înșela utilizatorii să execute ei înșiși programe malware urmând instrucțiuni fabricate. Această metodă extinde amenințarea dincolo de dispozitivele mobile și permite infectarea sistemelor desktop.
Abuzul de identități de încredere prin alerte false
Campaniile ClickFix legate de GhostChat se bazează pe site-uri web înșelătoare și avertismente de securitate contrafăcute. În cazurile observate, atacatorii se dau drept Echipa de intervenție în caz de urgență informatică din Pakistan, afișând mesaje alarmante despre presupuse amenințări la adresa infrastructurii naționale și a rețelelor guvernamentale. Victimele sunt îndemnate să dea clic pe butonul „Actualizare”, care inițiază descărcarea și executarea DLL-ului rău intenționat. Odată activ, DLL-ul raportează detalii despre sistem, cum ar fi numele computerului și numele de utilizator, către un server de comenzi, verifică în mod repetat instrucțiuni suplimentare și execută comenzile primite folosind PowerShell.
Ocuparea contului WhatsApp prin escrocherii cu coduri QR
Actorii amenințători comit, de asemenea, escrocherii pe dispozitive mobile care vizează utilizatorii WhatsApp. Victimele sunt atrase către un site web fraudulos care pretinde afiliere cu Ministerul Apărării din Pakistan și sunt încurajate să se alăture unei comunități false. Scanarea unui cod QR furnizat conectează contul WhatsApp al victimei la WhatsApp Web sau Desktop, aflat sub controlul atacatorului. Acest lucru oferă acces complet la chat-uri și contacte, permițând efectiv preluarea controlului asupra contului fără ca utilizatorul să își dea seama imediat.
Strategia de distribuție și atenuarea riscurilor
GhostChat este distribuit exclusiv în afara marketplace-urilor oficiale de aplicații. Este promovată ca o aplicație de dating sau mesagerie și se bazează pe tactici de escrocherie romantică pentru a convinge utilizatorii să instaleze manual fișierul APK și să permită instalarea din surse necunoscute. Odată instalat, malware-ul solicită imediat permisiuni și inițiază activități de spionaj sub acoperire. Aceste campanii coordonate combină ingineria socială, spyware-ul și deturnarea conturilor pentru a compromite atât mediile mobile, cât și cele desktop. Vigilența împotriva link-urilor nesolicitate, a ferestrelor pop-up alarmante, a aplicațiilor neoficiale și a codurilor QR neașteptate rămâne esențială pentru protejarea datelor personale și a conturilor utilizatorilor.
