Mobilný malvér GhostChat
GhostChat je škodlivá aplikácia pre Android, ktorá sa prezentuje ako platforma na chatovanie alebo zoznamovanie, pričom tajne funguje ako spyware. Jej hlavným účelom je zhromažďovať citlivé informácie z infikovaných zariadení. Analýza naznačuje, že hlavnými cieľmi sú používatelia v Pakistane. Ak sa aplikácia objaví na zariadení, dôrazne sa odporúča jej okamžité odstránenie, pretože jej pokračujúca prítomnosť výrazne zvyšuje riziko krádeže údajov a širšieho ohrozenia.
Obsah
Klamlivé onboardingové procesy a falošné overenie
Po inštalácii GhostChat agresívne vyžaduje viacero povolení pre zariadenia. Po udelení sa používateľom zobrazí prihlasovacie rozhranie, ktoré zrejme vyžaduje platné prihlasovacie údaje. Tento proces je úplne podvodný, pretože údajné autentifikačné údaje sú pevne zakódované v aplikácii, a nie sú overené prostredníctvom legitímnej backendovej služby. Krok prihlásenia existuje výlučne na vytvorenie ilúzie autenticity.
Manipulatívna interakcia s používateľmi a presmerovanie cez WhatsApp
Po falošnom prihlásení aplikácia zobrazí množstvo ženských profilov s obrázkami, menami a vekom. Žiaden z týchto profilov nie je v skutočnosti prístupný. Pokusy o interakciu s nimi vyzývajú používateľov k zadaniu „odomykacieho kódu“. Každý profil je prepojený s konkrétnym číslom WhatsApp a zadanie očakávaného kódu spôsobí, že aplikácia automaticky otvorí WhatsApp a začne konverzáciu s daným číslom, čo podporuje romantické podvody a aktivity sociálneho inžinierstva.
Tichý dohľad a nepretržitá exfiltrácia údajov
GhostChat vykonáva škodlivé operácie na pozadí od okamihu spustenia, dokonca aj pred fázou prihlásenia. Monitoruje aktivitu zariadenia a prenáša zhromaždené informácie na vzdialený server velenia a riadenia (C2). Škodlivý softvér pravidelne prehľadáva zariadenie a hľadá nový obsah, automaticky nahráva fotografie a každých päť minút kontroluje novovytvorené alebo uložené dokumenty. Rozsah zhromaždených údajov zahŕňa:
Identifikátory zariadení, zoznamy kontaktov, obrázky a dokumenty, ako napríklad súbory PDF, Word, Excel a PowerPoint
Zdieľaná infraštruktúra a reťazec infekcií desktopov
Infraštruktúra GhostChat C2 sa tiež používa na distribúciu ďalších škodlivých komponentov. Medzi nimi je súbor DLL spojený s technikou ClickFix, ktorá má oklamať používateľov a prinútiť ich spustiť malvér podľa vymyslených pokynov. Táto metóda rozširuje hrozbu aj za hranice mobilných zariadení a umožňuje infikovať stolové systémy.
Zneužívanie dôveryhodných identít prostredníctvom falošných upozornení
Kampane ClickFix prepojené s GhostChat sa spoliehajú na zavádzajúce webové stránky a falošné bezpečnostné upozornenia. V pozorovaných prípadoch sa útočníci vydávajú za pakistanský tím pre reakciu na počítačové núdzové situácie a zobrazujú alarmujúce správy o údajných hrozbách pre národnú infraštruktúru a vládne siete. Obete sú vyzývané, aby klikli na tlačidlo „Aktualizovať“, ktoré spustí sťahovanie a spustenie škodlivej knižnice DLL. Po aktivácii knižnica DLL hlási systémové podrobnosti, ako je názov počítača a používateľské meno, na príkazový server, opakovane kontroluje ďalšie pokyny a vykonáva prijaté príkazy pomocou PowerShellu.
Ovládnutie účtu WhatsApp prostredníctvom podvodov s QR kódmi
Útočníci tiež vykonávajú podvody zamerané na mobilné zariadenia zamerané na používateľov WhatsAppu. Obete sú nalákané na podvodnú webovú stránku, ktorá tvrdí, že je spojená s pakistanským ministerstvom obrany, a sú nabádané, aby sa pripojili k falošnej komunite. Naskenovaním poskytnutého QR kódu sa prepojí účet obete na WhatsApp s WhatsApp Web alebo Desktop pod kontrolou útočníka. To poskytuje plný prístup k chatom a kontaktom, čo v podstate umožňuje prevzatie účtu bez okamžitého vedomia používateľa.
Stratégia distribúcie a zmierňovanie rizík
GhostChat sa distribuuje výhradne mimo oficiálnych trhovísk s aplikáciami. Je propagovaný ako zoznamovacia alebo messagingová aplikácia a spolieha sa na podvodné taktiky romantických vzťahov, aby presvedčil používateľov, aby si manuálne nainštalovali súbor APK a povolili inštaláciu z neznámych zdrojov. Po nainštalovaní malvér okamžite vyžiada povolenia a spustí skryté špionážne aktivity. Tieto koordinované kampane kombinujú sociálne inžinierstvo, spyware a únosy účtov s cieľom ohroziť mobilné aj desktopové prostredie. Pre ochranu osobných údajov a používateľských účtov zostáva kritická ostražitosť voči nevyžiadaným odkazom, alarmujúcim vyskakovacím oknám, neoficiálnym aplikáciám a neočakávaným QR kódom.
