Вредоносное ПО GhostChat для мобильных устройств
GhostChat — это вредоносное приложение для Android, которое маскируется под чат или платформу для знакомств, но на самом деле работает как шпионское ПО. Его основная цель — сбор конфиденциальной информации с зараженных устройств. Анализ показывает, что основными целями являются пользователи в Пакистане. При обнаружении приложения на устройстве настоятельно рекомендуется немедленно удалить его, поскольку дальнейшее его присутствие значительно увеличивает риск кражи данных и более масштабной компрометации.
Оглавление
Обманчивая процедура регистрации и поддельная аутентификация
После установки GhostChat настойчиво запрашивает разрешения на доступ к нескольким устройствам. После их предоставления пользователям отображается интерфейс входа в систему, который, как кажется, требует действительных учетных данных. Этот процесс является полностью мошенническим, поскольку предполагаемые данные для аутентификации жестко закодированы в приложении, а не проверяются через легитимную серверную службу. Этап входа в систему существует исключительно для создания иллюзии подлинности.
Манипулятивное взаимодействие с пользователем и перенаправление в WhatsApp
После ложного входа в систему приложение отображает множество женских профилей, содержащих изображения, имена и возраст. Ни один из этих профилей на самом деле недоступен. Попытки взаимодействия с ними приводят к необходимости ввести «код разблокировки». Каждый профиль привязан к определенному номеру WhatsApp, и ввод ожидаемого кода приводит к автоматическому открытию WhatsApp и началу разговора с этим номером, что способствует мошенничеству на почве романтических отношений и социальной инженерии.
Скрытое наблюдение и непрерывная утечка данных
GhostChat с момента запуска, еще до входа в систему, проводит вредоносные операции в фоновом режиме. Он отслеживает активность устройства и передает собранную информацию на удаленный сервер управления и контроля (C2). Вредоносная программа периодически сканирует устройство на наличие нового контента, автоматически загружая фотографии и проверяя наличие вновь созданных или сохраненных документов каждые пять минут. Объем собираемых данных включает:
Идентификаторы устройств, списки контактов, изображения и документы, такие как файлы PDF, Word, Excel и PowerPoint.
Цепочка заражения общей инфраструктурой и рабочими столами
Инфраструктура управления и контроля GhostChat также используется для распространения дополнительных вредоносных компонентов. Среди них — DLL-файл, связанный с ClickFix, методом, разработанным для обмана пользователей с целью заставить их самостоятельно запустить вредоносное ПО, следуя сфабрикованным инструкциям. Этот метод распространяет угрозу за пределы мобильных устройств и позволяет заражать настольные системы.
Злоупотребление доверенными учетными записями посредством ложных оповещений
Кампании ClickFix, связанные с GhostChat, используют вводящие в заблуждение веб-сайты и поддельные предупреждения о безопасности. В наблюдавшихся случаях злоумышленники выдают себя за Пакистанскую группу реагирования на компьютерные чрезвычайные ситуации, отображая тревожные сообщения о предполагаемых угрозах национальной инфраструктуре и правительственным сетям. Жертвам предлагается нажать кнопку «Обновить», которая запускает загрузку и выполнение вредоносной DLL-библиотеки. После активации DLL-библиотека передает системные данные, такие как имя компьютера и имя пользователя, на командный сервер, неоднократно проверяет наличие дальнейших инструкций и выполняет полученные команды с помощью PowerShell.
Мошенничество с захватом аккаунтов WhatsApp через QR-коды.
Злоумышленники также используют мошеннические схемы, ориентированные на мобильные устройства и нацеленные на пользователей WhatsApp. Жертв заманивают на мошеннический веб-сайт, якобы связанный с Министерством обороны Пакистана, и призывают присоединиться к поддельному сообществу. Сканирование предоставленного QR-кода связывает учетную запись WhatsApp жертвы с WhatsApp Web или Desktop под контролем злоумышленника. Это предоставляет полный доступ к чатам и контактам, фактически позволяя захватить учетную запись без ведома пользователя.
Стратегия дистрибуции и снижение рисков
GhostChat распространяется исключительно вне официальных магазинов приложений. Он позиционируется как приложение для знакомств или обмена сообщениями и использует тактику мошенничества, чтобы убедить пользователей вручную установить APK-файл и разрешить установку из неизвестных источников. После установки вредоносное ПО немедленно запрашивает разрешения и начинает скрытую слежку. Эти скоординированные кампании сочетают социальную инженерию, шпионское ПО и взлом учетных записей для компрометации как мобильных, так и настольных систем. Для защиты личных данных и учетных записей пользователей крайне важно проявлять бдительность в отношении нежелательных ссылок, тревожных всплывающих окон, неофициальных приложений и неожиданных QR-кодов.
