GhostChat Mobil Kötü Amaçlı Yazılımı
GhostChat, kendisini sohbet veya tanışma platformu olarak gösteren ancak gizlice casus yazılım olarak çalışan kötü amaçlı bir Android uygulamasıdır. Başlıca amacı, bulaşmış cihazlardan hassas bilgileri toplamaktır. Analizler, Pakistan'daki kullanıcıların ana hedef olduğunu göstermektedir. Uygulama bir cihazda tespit edilirse, derhal kaldırılması şiddetle tavsiye edilir, çünkü varlığının devam etmesi veri hırsızlığı ve daha geniş çaplı güvenlik ihlali riskini önemli ölçüde artırır.
İçindekiler
Aldatıcı Kayıt Süreci ve Sahte Kimlik Doğrulama
Kurulumdan sonra GhostChat, birden fazla cihaz izni talep eder. İzinler verildikten sonra, kullanıcılara geçerli kimlik bilgilerini gerektiriyormuş gibi görünen bir giriş arayüzü sunulur. Bu süreç tamamen sahtekarlıktır, çünkü sözde kimlik doğrulama bilgileri, meşru bir arka uç hizmeti aracılığıyla doğrulanmak yerine uygulamaya kodlanmıştır. Giriş adımı yalnızca gerçeklik yanılsaması yaratmak için mevcuttur.
Kullanıcıyı Manipüle Etme ve WhatsApp Yönlendirmesi
Sahte giriş işleminden sonra, uygulama resim, isim ve yaş içeren çok sayıda kadın profili görüntüler. Bu profillerin hiçbirine aslında erişilemez. Bunlarla etkileşim kurma girişimleri, kullanıcılardan bir 'kilit açma kodu' girmelerini ister. Her profil belirli bir WhatsApp numarasına bağlıdır ve beklenen kodun girilmesi, uygulamanın otomatik olarak WhatsApp'ı açmasına ve o numarayla bir konuşma başlatmasına neden olarak, romantik dolandırıcılık ve sosyal mühendislik faaliyetlerini destekler.
Sessiz Gözetim ve Sürekli Veri Sızdırma
GhostChat, başlatıldığı andan itibaren, hatta oturum açma aşamasından önce bile arka planda kötü amaçlı işlemler yürütür. Cihaz etkinliğini izler ve topladığı bilgileri uzaktan komuta ve kontrol (C2) sunucusuna iletir. Kötü amaçlı yazılım, cihazı periyodik olarak yeni içerik için tarar, fotoğrafları otomatik olarak yükler ve her beş dakikada bir yeni oluşturulan veya kaydedilen belgeleri kontrol eder. Toplanan verilerin kapsamı şunları içerir:
Cihaz tanımlayıcıları, kişi listeleri, resimler ve PDF, Word, Excel ve PowerPoint dosyaları gibi belgeler.
Paylaşılan Altyapı ve Masaüstü Enfeksiyon Zinciri
GhostChat C2 altyapısı, ek kötü amaçlı bileşenlerin dağıtımı için de kullanılıyor. Bunlar arasında, kullanıcıları uydurma talimatları izleyerek kötü amaçlı yazılımı kendileri çalıştırmaya kandırmak için tasarlanmış bir teknik olan ClickFix ile ilişkili bir DLL dosyası da bulunuyor. Bu yöntem, tehdidi mobil cihazların ötesine taşıyarak masaüstü sistemlerin de enfekte olmasına olanak tanıyor.
Sahte Uyarılar Aracılığıyla Güvenilir Kimliklerin Kötüye Kullanılması
GhostChat ile bağlantılı ClickFix kampanyaları, yanıltıcı web sitelerine ve sahte güvenlik uyarılarına dayanmaktadır. Gözlemlenen vakalarda, saldırganlar Pakistan Bilgisayar Acil Durum Müdahale Ekibi'ni taklit ederek, ulusal altyapı ve hükümet ağlarına yönelik sözde tehditler hakkında endişe verici mesajlar göstermektedir. Kurbanlar, kötü amaçlı DLL'nin indirilmesini ve çalıştırılmasını başlatan bir 'Güncelle' düğmesine tıklamaya teşvik edilir. Etkin hale geldikten sonra, DLL, bilgisayar adı ve kullanıcı adı gibi sistem ayrıntılarını bir komut sunucusuna bildirir, tekrar tekrar ek talimatlar kontrol eder ve alınan komutları PowerShell kullanarak yürütür.
QR Kod Yöntemiyle WhatsApp Hesap Ele Geçirme Dolandırıcılığı
Siber suçlular ayrıca WhatsApp kullanıcılarını hedef alan mobil odaklı dolandırıcılık yöntemleri de kullanıyor. Kurbanlar, Pakistan Savunma Bakanlığı ile bağlantılı olduğunu iddia eden sahte bir web sitesine yönlendiriliyor ve sahte bir topluluğa katılmaya teşvik ediliyor. Verilen QR kodunu taramak, kurbanın WhatsApp hesabını saldırganın kontrolündeki WhatsApp Web veya Masaüstü uygulamasına bağlıyor. Bu, sohbetlere ve kişilere tam erişim sağlayarak, kullanıcının anında haberdar olmadan hesabın ele geçirilmesine olanak tanıyor.
Dağıtım Stratejisi ve Risk Azaltma
GhostChat, yalnızca resmi uygulama mağazalarının dışında dağıtılmaktadır. Bir flört veya mesajlaşma uygulaması olarak tanıtılan uygulama, kullanıcıları APK dosyasını manuel olarak yüklemeye ve bilinmeyen kaynaklardan yüklemeyi etkinleştirmeye ikna etmek için romantik dolandırıcılık taktiklerine başvurmaktadır. Yüklendikten sonra, kötü amaçlı yazılım hemen izinler talep eder ve gizli casusluk faaliyetlerini başlatır. Bu koordineli kampanyalar, hem mobil hem de masaüstü ortamlarını tehlikeye atmak için sosyal mühendislik, casus yazılım ve hesap ele geçirme yöntemlerini bir araya getirmektedir. Kişisel verilerin ve kullanıcı hesaplarının korunması için istenmeyen bağlantılara, endişe verici açılır pencerelere, resmi olmayan uygulamalara ve beklenmedik QR kodlarına karşı dikkatli olmak son derece önemlidir.
