Мобилни злонамерни софтвер GhostChat
GhostChat је злонамерна Андроид апликација која се представља као платформа за ћаскање или упознавање, док тајно функционише као шпијунски софтвер. Њена примарна сврха је прикупљање осетљивих информација са заражених уређаја. Анализа показује да су корисници у Пакистану главне мете. Препоручује се тренутно уклањање ако се апликација открије на уређају, јер континуирано присуство значајно повећава ризик од крађе података и ширег компромитовања.
Преглед садржаја
Обмањујуће увођење у систем и лажна аутентификација
Након инсталације, GhostChat агресивно захтева дозволе за више уређаја. Када се одобре, корисницима се приказује интерфејс за пријаву који изгледа као да захтева важеће акредитиве. Овај процес је потпуно преваран, јер су наводни детаљи за аутентификацију чврсто кодирани у апликацији, уместо да се верификују путем легитимне бекенд услуге. Корак пријаве постоји искључиво да би се створила илузија аутентичности.
Манипулативна интеракција корисника и преусмеравање на WhatsApp-у
Након лажног пријављивања, апликација приказује бројне женске профиле који садрже слике, имена и године. Ниједан од ових профила није заправо доступан. Покушаји интеракције са њима подстичу кориснике да унесу „код за откључавање“. Сваки профил је повезан са одређеним WhatsApp бројем, а унос очекиваног кода доводи до тога да апликација аутоматски отвори WhatsApp и започне разговор са тим бројем, подржавајући преваре везане за романсу и активности социјалног инжењеринга.
Тихи надзор и континуирано извлачење података
GhostChat спроводи злонамерне операције у позадини од тренутка покретања, чак и пре фазе пријављивања. Прати активност уређаја и преноси прикупљене информације на удаљени командни и контролни (C2) сервер. Злонамерни софтвер периодично скенира уређај у потрази за новим садржајем, аутоматски отпрема фотографије и проверава новокреиране или сачуване документе сваких пет минута. Обим прикупљених података укључује:
Идентификатори уређаја, листе контаката, слике и документи као што су PDF, Word, Excel и PowerPoint датотеке
Дељена инфраструктура и ланац инфекције десктопа
Инфраструктура GhostChat C2 се такође користи за дистрибуцију додатних злонамерних компоненти. Међу њима је и DLL датотека повезана са ClickFix-ом, техником осмишљеном да превари кориснике да сами покрећу злонамерни софтвер пратећи измишљена упутства. Ова метода проширује претњу ван мобилних уређаја и омогућава инфекцију десктоп система.
Злоупотреба поузданих идентитета путем лажних упозорења
ClickFix кампање повезане са GhostChat-ом ослањају се на обмањујуће веб странице и фалсификована безбедносна упозорења. У посматраним случајевима, нападачи се представљају као Пакистански тим за реаговање на рачунарске ванредне ситуације, приказујући алармантне поруке о наводним претњама националној инфраструктури и владиним мрежама. Жртве се позивају да кликну на дугме „Ажурирај“, што покреће преузимање и извршавање злонамерне DLL датотеке. Једном активна, DLL датотека пријављује системске детаље као што су име рачунара и корисничко име командном серверу, више пута проверава даља упутства и извршава примљене команде помоћу PowerShell-а.
Преузимање WhatsApp налога путем превара са QR кодовима
Претње такође спроводе преваре усмерене на мобилне уређаје, усмерене на кориснике WhatsApp-а. Жртве се намамљују на лажну веб страницу која тврди да је повезана са Министарством одбране Пакистана и подстиче их да се придруже лажној заједници. Скенирањем достављеног QR кода повезује се WhatsApp налог жртве са WhatsApp Web-ом или десктопом под контролом нападача. Ово омогућава потпун приступ ћаскањима и контактима, ефикасно омогућавајући преузимање налога без непосредног знања корисника.
Стратегија дистрибуције и ублажавање ризика
GhostChat се дистрибуира искључиво ван званичних продавница апликација. Промовише се као апликација за упознавање или размену порука и ослања се на тактике романтичне преваре како би убедио кориснике да ручно инсталирају APK и омогуће инсталацију из непознатих извора. Једном инсталиран, злонамерни софтвер одмах захтева дозволе и покреће тајне активности шпијунирања. Ове координисане кампање комбинују друштвени инжењеринг, шпијунски софтвер и отмицу налога како би угрозиле и мобилна и десктоп окружења. Будност према нежељеним линковима, алармантним искачућим прозорима, незваничним апликацијама и неочекиваним QR кодовима остаје кључна за заштиту личних података и корисничких налога.
