Malware sa Mobile na GhostChat
Ang GhostChat ay isang malisyosong Android application na nagpapakita ng sarili bilang isang chat o dating platform habang palihim na gumagana bilang spyware. Ang pangunahing layunin nito ay ang kumuha ng sensitibong impormasyon mula sa mga nahawaang device. Ipinapakita ng pagsusuri na ang mga user sa Pakistan ang pangunahing target. Lubos na ipinapayo ang agarang pag-alis kung ang application ay matuklasan sa isang device, dahil ang patuloy na presensya ay makabuluhang nagpapataas ng panganib ng pagnanakaw ng data at mas malawak na pagkakompromiso.
Talaan ng mga Nilalaman
Mapanlinlang na Onboarding at Pekeng Authentication
Pagkatapos ng pag-install, agresibong humihingi ng maraming pahintulot sa device ang GhostChat. Kapag nabigyan na, ipapakita sa mga user ang isang login interface na tila nangangailangan ng mga valid na credential. Ang prosesong ito ay ganap na mapanlinlang, dahil ang mga dapat na detalye ng authentication ay naka-hardcode sa application sa halip na beripikahin sa pamamagitan ng isang lehitimong backend service. Ang hakbang sa pag-login ay umiiral lamang upang lumikha ng ilusyon ng pagiging tunay.
Manipulatibong Interaksyon ng Gumagamit at Pag-redirect ng WhatsApp
Kasunod ng pekeng pag-login, ipapakita ng app ang maraming profile ng babae na naglalaman ng mga larawan, pangalan, at edad. Wala sa mga profile na ito ang aktwal na maa-access. Ang mga pagtatangkang makipag-ugnayan sa mga ito ay nag-uudyok sa mga user na maglagay ng 'unlock code.' Ang bawat profile ay nakatali sa isang partikular na numero ng WhatsApp, at ang pagpasok ng inaasahang code ay nagiging sanhi ng awtomatikong pagbubukas ng app ng WhatsApp at pagsisimula ng isang pag-uusap sa numerong iyon, na sumusuporta sa mga aktibidad na romance-scam at social-engineering.
Tahimik na Pagsubaybay at Patuloy na Pag-exfiltration ng Datos
Nagsasagawa ang GhostChat ng mga malisyosong operasyon sa background mula sa sandaling ito ay inilunsad, kahit bago pa man ang yugto ng pag-login. Minomonitor nito ang aktibidad ng device at ipinapadala ang nakalap na impormasyon sa isang remote command-and-control (C2) server. Pana-panahong ini-scan ng malware ang device para sa mga bagong nilalaman, awtomatikong nag-a-upload ng mga larawan at sinusuri ang mga bagong likha o nakaimbak na dokumento bawat limang minuto. Kasama sa saklaw ng nakalap na data ang:
Mga pagkakakilanlan ng device, listahan ng contact, mga larawan, at mga dokumento tulad ng mga PDF, Word, Excel, at PowerPoint file
Ibinahaging Imprastraktura at Kadena ng Impeksyon sa Desktop
Ginagamit din ang imprastraktura ng GhostChat C2 upang ipamahagi ang mga karagdagang malisyosong bahagi. Kabilang sa mga ito ang isang DLL file na nauugnay sa ClickFix, isang pamamaraan na idinisenyo upang linlangin ang mga gumagamit na magsagawa mismo ng malware sa pamamagitan ng pagsunod sa mga gawa-gawang tagubilin. Pinalalawak ng pamamaraang ito ang banta na higit pa sa mga mobile device at nagbibigay-daan sa impeksyon ng mga desktop system.
Pag-abuso sa mga Pinagkakatiwalaang Pagkakakilanlan sa pamamagitan ng mga Pekeng Alerto
Ang mga kampanyang ClickFix na naka-link sa GhostChat ay umaasa sa mga mapanlinlang na website at mga pekeng babala sa seguridad. Sa mga naobserbahang kaso, ginagaya ng mga umaatake ang Computer Emergency Response Team ng Pakistan, na nagpapakita ng mga nakababahalang mensahe tungkol sa mga umano'y banta sa pambansang imprastraktura at mga network ng gobyerno. Hinihimok ang mga biktima na mag-click sa button na 'Update', na siyang nagsisimula sa pag-download at pagpapatupad ng malisyosong DLL. Kapag aktibo na, iniuulat ng DLL ang mga detalye ng system tulad ng pangalan at username ng computer sa isang command server, paulit-ulit na sinusuri ang mga karagdagang tagubilin, at isinasagawa ang mga natanggap na command gamit ang PowerShell.
Pag-agaw ng WhatsApp Account sa pamamagitan ng mga Scam ng QR Code
Nagsasagawa rin ang mga nagbabantang aktor ng mga panloloko na nakasentro sa mobile na naglalayong sa mga gumagamit ng WhatsApp. Ang mga biktima ay naaakit sa isang mapanlinlang na website na nagsasabing may kaugnayan sa Ministry of Defence ng Pakistan at hinihikayat na sumali sa isang pekeng komunidad. Ang pag-scan ng ibinigay na QR code ay nag-uugnay sa WhatsApp account ng biktima sa WhatsApp Web o Desktop sa ilalim ng kontrol ng attacker. Nagbibigay ito ng ganap na access sa mga chat at contact, na epektibong nagpapahintulot sa account takeover nang hindi agad namamalayan ng user.
Istratehiya sa Pamamahagi at Pagpapagaan ng Panganib
Ang GhostChat ay ipinamamahagi lamang sa labas ng mga opisyal na pamilihan ng app. Ito ay pino-promote bilang isang dating o messaging application at umaasa sa mga taktika ng romance-scam upang hikayatin ang mga user na manu-manong i-install ang APK at paganahin ang pag-install mula sa mga hindi kilalang pinagmulan. Kapag na-install na, agad na hihingi ng mga pahintulot ang malware at magsisimula ng mga palihim na aktibidad ng pag-eespiya. Pinagsasama ng mga pinag-ugnay na kampanyang ito ang social engineering, spyware, at account hijacking upang makompromiso ang parehong mobile at desktop na kapaligiran. Ang pagbabantay laban sa mga hindi hinihinging link, nakababahalang mga pop-up, hindi opisyal na mga app, at hindi inaasahang mga QR code ay nananatiling mahalaga para sa pagprotekta ng personal na data at mga user account.
