Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware celular GhostChat Mobile Malware

GhostChat Mobile Malware

Nga MezoMalware celular
Përkthe në:

GhostChat është një aplikacion keqdashës për Android që paraqitet si një platformë bisedash ose takimesh, ndërsa vepron fshehurazi si spiun. Qëllimi i tij kryesor është të mbledhë informacione të ndjeshme nga pajisjet e infektuara. Analiza tregon se përdoruesit në Pakistan janë objektivat kryesorë. Heqja e menjëhershme këshillohet fuqimisht nëse aplikacioni zbulohet në një pajisje, pasi prania e vazhdueshme rrit ndjeshëm rrezikun e vjedhjes së të dhënave dhe kompromentimit më të gjerë.

Integrim mashtrues dhe vërtetim i rremë

Pas instalimit, GhostChat kërkon në mënyrë agresive leje të shumëfishta për pajisjen. Pasi të jenë dhënë, përdoruesve u paraqitet një ndërfaqe hyrjeje që duket se kërkon kredenciale të vlefshme. Ky proces është tërësisht mashtrues, pasi detajet e supozuara të vërtetimit futen në aplikacion në vend që të verifikohen përmes një shërbimi legjitim të prapavijës. Hapi i hyrjes ekziston vetëm për të krijuar një iluzion autenticiteti.

Ndërveprimi manipulues i përdoruesit dhe ridrejtimi i WhatsApp-it

Pas hyrjes së rreme, aplikacioni shfaq profile të shumta femrash që përmbajnë imazhe, emra dhe mosha. Asnjë nga këto profile nuk është në të vërtetë i arritshëm. Përpjekjet për të bashkëvepruar me to i nxisin përdoruesit të futin një 'kod zhbllokimi'. Çdo profil është i lidhur me një numër specifik WhatsApp dhe futja e kodit të pritur bën që aplikacioni të hapë automatikisht WhatsApp dhe të fillojë një bisedë me atë numër, duke mbështetur mashtrime romantike dhe aktivitete inxhinierike sociale.

Mbikëqyrje e heshtur dhe nxjerrje e vazhdueshme e të dhënave

GhostChat kryen operacione keqdashëse në sfond që nga momenti i nisjes, madje edhe para fazës së hyrjes. Ai monitoron aktivitetin e pajisjes dhe transmeton informacionin e mbledhur në një server komande dhe kontrolli në distancë (C2). Malware skanon periodikisht pajisjen për përmbajtje të re, duke ngarkuar automatikisht foto dhe duke kontrolluar për dokumente të sapokrijuara ose të ruajtura çdo pesë minuta. Shtrirja e të dhënave të mbledhura përfshin:

Identifikuesit e pajisjeve, listat e kontakteve, imazhet dhe dokumentet si PDF, skedarët Word, Excel dhe PowerPoint

Infrastruktura e përbashkët dhe zinxhiri i infeksionit të desktopit

Infrastruktura GhostChat C2 përdoret gjithashtu për të shpërndarë komponentë shtesë keqdashës. Midis tyre është një skedar DLL i lidhur me ClickFix, një teknikë e projektuar për të mashtruar përdoruesit që të ekzekutojnë vetë programe keqdashëse duke ndjekur udhëzime të sajuara. Kjo metodë e zgjeron kërcënimin përtej pajisjeve mobile dhe mundëson infektimin e sistemeve desktop.

Abuzimi i identiteteve të besuara përmes alarmeve të rreme

Fushatat ClickFix të lidhura me GhostChat mbështeten në faqe interneti mashtruese dhe paralajmërime sigurie të falsifikuara. Në rastet e vëzhguara, sulmuesit imitojnë Ekipin e Reagimit ndaj Emergjencave Kompjuterike të Pakistanit, duke shfaqur mesazhe alarmuese në lidhje me kërcënime të dyshuara ndaj infrastrukturës kombëtare dhe rrjeteve qeveritare. Viktimave u kërkohet të klikojnë një buton 'Përditëso', i cili fillon shkarkimin dhe ekzekutimin e DLL-së keqdashëse. Pasi të aktivizohet, DLL raporton detajet e sistemit, të tilla si emri i kompjuterit dhe emri i përdoruesit, në një server komandash, kontrollon vazhdimisht për udhëzime të mëtejshme dhe ekzekuton komandat e marra duke përdorur PowerShell.

Marrja e llogarisë WhatsApp përmes mashtrimeve me kodin QR

Aktorët kërcënues kryejnë gjithashtu mashtrime të përqendruara në celularë që synojnë përdoruesit e WhatsApp. Viktimat joshen në një faqe interneti mashtruese që pretendon lidhje me Ministrinë e Mbrojtjes të Pakistanit dhe inkurajohen të bashkohen me një komunitet të rremë. Skanimi i një kodi QR të dhënë lidh llogarinë WhatsApp të viktimës me WhatsApp Web ose Desktop nën kontrollin e sulmuesit. Kjo i jep akses të plotë në biseda dhe kontakte, duke lejuar në mënyrë efektive marrjen e llogarisë pa dijeninë e menjëhershme të përdoruesit.

Strategjia e Shpërndarjes dhe Zbutja e Rrezikut

GhostChat shpërndahet ekskluzivisht jashtë tregjeve zyrtare të aplikacioneve. Promovohet si një aplikacion takimesh ose mesazhesh dhe mbështetet në taktikat e mashtrimit romantik për të bindur përdoruesit të instalojnë manualisht APK-në dhe të aktivizojnë instalimin nga burime të panjohura. Pasi instalohet, programi keqdashës kërkon menjëherë leje dhe fillon aktivitete të fshehta spiunazhi. Këto fushata të koordinuara kombinojnë inxhinierinë sociale, spiunazhin dhe rrëmbimin e llogarive për të kompromentuar mjediset si të celularit ashtu edhe të desktopit. Vigjilenca ndaj lidhjeve të padëshiruara, dritareve alarmuese, aplikacioneve jozyrtare dhe kodeve QR të papritura mbetet kritike për mbrojtjen e të dhënave personale dhe llogarive të përdoruesve.

Në trend

Mashtrim me email për mbrojtjen e sigurisë së IT-së

Fishing, Spam
Emailet e papritura që pretendojnë çështje urgjente sigurie duhet të trajtohen gjithmonë me kujdes. Kriminelët kibernetikë shpesh shfrytëzojnë frikën dhe urgjencën për të mashtruar përdoruesit që të bëjnë gabime të kushtueshme. Emailet e ashtuquajtura 'Mbrojtja e Sigurisë së IT-së' janë një shembull i qartë i kësaj taktike. Këto mesazhe nuk shoqërohen me asnjë kompani, organizatë apo entitet...

Më e shikuara

Po ngarkohet...