มัลแวร์ GhostChat Mobile
GhostChat เป็นแอปพลิเคชัน Android ที่เป็นอันตราย ซึ่งปลอมตัวเป็นแพลตฟอร์มแชทหรือหาคู่ แต่แอบแฝงเป็นสปายแวร์ จุดประสงค์หลักคือการเก็บรวบรวมข้อมูลสำคัญจากอุปกรณ์ที่ติดไวรัส จากการวิเคราะห์พบว่าผู้ใช้ในปากีสถานเป็นเป้าหมายหลัก ขอแนะนำให้ลบแอปพลิเคชันนี้ออกทันทีหากพบในอุปกรณ์ เนื่องจากหากปล่อยให้แอปพลิเคชันนี้อยู่ในอุปกรณ์ต่อไป จะเพิ่มความเสี่ยงต่อการขโมยข้อมูลและการละเมิดความปลอดภัยในวงกว้างมากขึ้น
สารบัญ
การลงทะเบียนที่หลอกลวงและการตรวจสอบสิทธิ์ปลอม
หลังจากติดตั้งแล้ว GhostChat จะขอสิทธิ์การเข้าถึงอุปกรณ์หลายเครื่องอย่างรุนแรง เมื่อได้รับอนุญาตแล้ว ผู้ใช้จะพบกับหน้าจอล็อกอินที่ดูเหมือนจะต้องการข้อมูลประจำตัวที่ถูกต้อง กระบวนการนี้เป็นการหลอกลวงโดยสิ้นเชิง เนื่องจากรายละเอียดการตรวจสอบสิทธิ์ที่กล่าวอ้างนั้นถูกเขียนไว้ในแอปพลิเคชันโดยตรง แทนที่จะได้รับการตรวจสอบผ่านบริการแบ็กเอนด์ที่ถูกต้อง ขั้นตอนการล็อกอินมีอยู่เพื่อสร้างภาพลวงตาของความถูกต้องเท่านั้น
การโต้ตอบกับผู้ใช้แบบบิดเบือนและการเปลี่ยนเส้นทาง WhatsApp
หลังจากล็อกอินปลอมแล้ว แอปจะแสดงโปรไฟล์ผู้หญิงจำนวนมากที่มีรูปภาพ ชื่อ และอายุ แต่ไม่มีโปรไฟล์ใดที่สามารถเข้าถึงได้จริง หากพยายามโต้ตอบกับโปรไฟล์เหล่านั้น ผู้ใช้จะต้องป้อน 'รหัสปลดล็อก' แต่ละโปรไฟล์เชื่อมโยงกับหมายเลข WhatsApp เฉพาะ และเมื่อป้อนรหัสที่ถูกต้อง แอปจะเปิด WhatsApp โดยอัตโนมัติและเริ่มการสนทนากับหมายเลขนั้น ซึ่งเป็นการสนับสนุนการหลอกลวงทางความรักและการใช้เทคนิคทางสังคมเพื่อหลอกลวง
การเฝ้าระวังอย่างเงียบๆ และการขโมยข้อมูลอย่างต่อเนื่อง
GhostChat ดำเนินการโจมตีในเบื้องหลังตั้งแต่เริ่มเปิดใช้งาน แม้กระทั่งก่อนขั้นตอนการล็อกอิน มันตรวจสอบกิจกรรมของอุปกรณ์และส่งข้อมูลที่รวบรวมได้ไปยังเซิร์ฟเวอร์ควบคุมระยะไกล (C2) มัลแวร์จะสแกนอุปกรณ์เพื่อหาเนื้อหาใหม่เป็นระยะ อัปโหลดรูปภาพโดยอัตโนมัติ และตรวจสอบเอกสารที่สร้างหรือจัดเก็บใหม่ทุกๆ ห้านาที ขอบเขตของข้อมูลที่รวบรวมได้ประกอบด้วย:
ข้อมูลระบุตัวตนอุปกรณ์ รายชื่อผู้ติดต่อ รูปภาพ และเอกสารต่างๆ เช่น ไฟล์ PDF, Word, Excel และ PowerPoint
โครงสร้างพื้นฐานที่ใช้ร่วมกันและห่วงโซ่การติดเชื้อบนเดสก์ท็อป
โครงสร้างพื้นฐาน C2 ของ GhostChat ยังถูกใช้เพื่อกระจายส่วนประกอบที่เป็นอันตรายเพิ่มเติมอีกด้วย หนึ่งในนั้นคือไฟล์ DLL ที่เกี่ยวข้องกับ ClickFix ซึ่งเป็นเทคนิคที่ออกแบบมาเพื่อหลอกลวงผู้ใช้ให้เรียกใช้มัลแวร์ด้วยตนเองโดยทำตามคำแนะนำที่สร้างขึ้น วิธีนี้ขยายขอบเขตภัยคุกคามไปไกลกว่าอุปกรณ์เคลื่อนที่และทำให้สามารถติดเชื้อในระบบเดสก์ท็อปได้
การแอบอ้างตัวตนที่น่าเชื่อถือผ่านการแจ้งเตือนปลอม
แคมเปญของ ClickFix ที่เชื่อมโยงกับ GhostChat อาศัยเว็บไซต์ที่ทำให้เข้าใจผิดและคำเตือนด้านความปลอดภัยปลอม ในกรณีที่พบเห็น ผู้โจมตีแอบอ้างเป็นทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของปากีสถาน โดยแสดงข้อความที่น่าตกใจเกี่ยวกับภัยคุกคามที่กล่าวอ้างต่อโครงสร้างพื้นฐานของประเทศและเครือข่ายของรัฐบาล เหยื่อจะถูกกระตุ้นให้คลิกปุ่ม 'อัปเดต' ซึ่งจะเริ่มการดาวน์โหลดและการเรียกใช้ไฟล์ DLL ที่เป็นอันตราย เมื่อทำงานแล้ว ไฟล์ DLL จะรายงานรายละเอียดของระบบ เช่น ชื่อคอมพิวเตอร์และชื่อผู้ใช้ไปยังเซิร์ฟเวอร์คำสั่ง ตรวจสอบคำสั่งเพิ่มเติมซ้ำๆ และเรียกใช้คำสั่งที่ได้รับโดยใช้ PowerShell
การหลอกลวงการเข้ายึดบัญชี WhatsApp ผ่านรหัส QR
กลุ่มแฮกเกอร์ยังทำการหลอกลวงผ่านแอปพลิเคชันบนมือถือ โดยมุ่งเป้าไปที่ผู้ใช้ WhatsApp เหยื่อจะถูกล่อลวงไปยังเว็บไซต์ปลอมที่อ้างว่าเกี่ยวข้องกับกระทรวงกลาโหมของปากีสถาน และถูกชักชวนให้เข้าร่วมกลุ่มปลอม การสแกนคิวอาร์โค้ดที่ให้มาจะเชื่อมโยงบัญชี WhatsApp ของเหยื่อไปยัง WhatsApp Web หรือ WhatsApp Desktop ที่อยู่ภายใต้การควบคุมของผู้โจมตี ซึ่งจะทำให้สามารถเข้าถึงการแชทและรายชื่อติดต่อได้อย่างเต็มที่ ส่งผลให้สามารถยึดบัญชีได้โดยที่ผู้ใช้ไม่รู้ตัวในทันที
กลยุทธ์การกระจายสินค้าและการลดความเสี่ยง
GhostChat เป็นแอปพลิเคชันที่เผยแพร่เฉพาะนอกตลาดแอปพลิเคชันอย่างเป็นทางการเท่านั้น โดยถูกโปรโมตว่าเป็นแอปพลิเคชันหาคู่หรือส่งข้อความ และใช้กลโกงหลอกลวงผู้ใช้ให้ติดตั้งไฟล์ APK ด้วยตนเองและอนุญาตให้ติดตั้งจากแหล่งที่ไม่รู้จัก เมื่อติดตั้งแล้ว มัลแวร์จะขอสิทธิ์การเข้าถึงและเริ่มกิจกรรมสอดแนมอย่างลับๆ ทันที แคมเปญที่ประสานงานกันเหล่านี้ผสมผสานวิศวกรรมสังคม สปายแวร์ และการโจรกรรมบัญชีเพื่อโจมตีทั้งอุปกรณ์เคลื่อนที่และคอมพิวเตอร์ การระมัดระวังลิงก์ที่ไม่พึงประสงค์ ป๊อปอัพที่น่าตกใจ แอปพลิเคชันที่ไม่เป็นทางการ และรหัส QR ที่ไม่คาดคิด ยังคงมีความสำคัญอย่างยิ่งต่อการปกป้องข้อมูลส่วนบุคคลและบัญชีผู้ใช้
