GhostChat mobil skadlig programvara
GhostChat är en skadlig Android-applikation som presenterar sig som en chatt- eller dejtingplattform samtidigt som den i hemlighet fungerar som spionprogram. Dess primära syfte är att samla in känslig information från infekterade enheter. Analyser visar att användare i Pakistan är de huvudsakliga målen. Omedelbar borttagning rekommenderas starkt om applikationen upptäcks på en enhet, eftersom fortsatt närvaro avsevärt ökar risken för datastöld och bredare kompromettering.
Innehållsförteckning
Bedräglig onboarding och falsk autentisering
Efter installationen begär GhostChat aggressivt behörigheter för flera enheter. När behörigheterna har beviljats visas användarna med ett inloggningsgränssnitt som verkar kräva giltiga inloggningsuppgifter. Denna process är helt bedräglig, eftersom de förmodade autentiseringsuppgifterna är hårdkodade i applikationen snarare än verifierade via en legitim backend-tjänst. Inloggningssteget finns enbart för att skapa en illusion av äkthet.
Manipulativ användarinteraktion och omdirigering av WhatsApp
Efter den falska inloggningen visar appen ett flertal kvinnliga profiler som innehåller bilder, namn och åldrar. Ingen av dessa profiler är faktiskt tillgängliga. Försök att interagera med dem uppmanar användare att ange en "upplåsningskod". Varje profil är kopplad till ett specifikt WhatsApp-nummer, och om man anger den förväntade koden öppnar appen automatiskt WhatsApp och initierar en konversation med det numret, vilket stöder romantikbedrägerier och social ingenjörskonst.
Tyst övervakning och kontinuerlig dataexfiltrering
GhostChat utför skadliga operationer i bakgrunden från det ögonblick det startas, även före inloggningsstadiet. Den övervakar enhetsaktivitet och överför insamlad information till en fjärrstyrd kommando- och kontrollserver (C2). Skadlig programvara skannar regelbundet enheten efter nytt innehåll, laddar upp foton automatiskt och kontrollerar efter nyligen skapade eller lagrade dokument var femte minut. Omfattningen av insamlad data inkluderar:
Enhetsidentifierare, kontaktlistor, bilder och dokument som PDF-, Word-, Excel- och PowerPoint-filer
Delad infrastruktur och infektionskedja för datorer
GhostChat C2-infrastrukturen används också för att distribuera ytterligare skadliga komponenter. Bland dem finns en DLL-fil associerad med ClickFix, en teknik utformad för att lura användare att själva köra skadlig kod genom att följa påhittade instruktioner. Denna metod utvidgar hotet bortom mobila enheter och möjliggör infektion av stationära datorer.
Missbruk av betrodda identiteter genom falska varningar
ClickFix-kampanjer kopplade till GhostChat förlitar sig på vilseledande webbplatser och förfalskade säkerhetsvarningar. I observerade fall utger sig angripare för att vara Pakistans datornödresponsteam och visar alarmerande meddelanden om påstådda hot mot nationell infrastruktur och statliga nätverk. Offren uppmanas att klicka på en "Uppdatera"-knapp, vilket initierar nedladdningen och körningen av den skadliga DLL-filen. När den är aktiv rapporterar DLL-filen systeminformation som datornamn och användarnamn till en kommandoserver, kontrollerar upprepade gånger om ytterligare instruktioner och kör mottagna kommandon med PowerShell.
Övertagande av WhatsApp-konto via QR-kodbedrägerier
Hotaktörer utför också mobilcentrerade bedrägerier riktade mot WhatsApp-användare. Offren lockas till en bedräglig webbplats som påstår sig vara ansluten till Pakistans försvarsministerium och uppmuntras att gå med i en falsk community. Genom att skanna en QR-kod länkas offrets WhatsApp-konto till WhatsApp Web eller Desktop under angriparens kontroll. Detta ger fullständig åtkomst till chattar och kontakter, vilket effektivt möjliggör kontoövertagande utan användarens omedelbara medvetenhet.
Distributionsstrategi och riskreducering
GhostChat distribueras exklusivt utanför officiella appmarknadsplatser. Det marknadsförs som en dejting- eller meddelandeapplikation och förlitar sig på romantikbedrägerier för att övertala användare att manuellt installera APK:en och aktivera installation från okända källor. När den är installerad begär skadlig kod omedelbart behörigheter och initierar hemliga spionaktiviteter. Dessa samordnade kampanjer kombinerar social manipulation, spionprogram och kontokapning för att kompromettera både mobila och stationära miljöer. Vaksamhet mot oönskade länkar, alarmerande popup-fönster, inofficiella appar och oväntade QR-koder är fortfarande avgörande för att skydda personuppgifter och användarkonton.
