Шкідливе програмне забезпечення для мобільних пристроїв GhostChat
GhostChat — це шкідливий додаток для Android, який представляється як платформа для чату або знайомств, але таємно працює як шпигунське програмне забезпечення. Його основна мета — збір конфіденційної інформації із заражених пристроїв. Аналіз показує, що основними цілями є користувачі з Пакистану. Наполегливо рекомендується негайне видалення додатка, якщо його виявлено на пристрої, оскільки подальша присутність значно збільшує ризик крадіжки даних та ширшого компрометування.
Зміст
Оманливий онбординг та фальшива автентифікація
Після встановлення GhostChat агресивно запитує дозволи для кількох пристроїв. Після їх надання користувачам відображається інтерфейс входу, який, схоже, вимагає дійсних облікових даних. Цей процес є повністю шахрайським, оскільки нібито дані автентифікації жорстко закодовані в програмі, а не перевірені через легітимний серверний сервіс. Крок входу існує виключно для створення ілюзії автентичності.
Маніпулятивна взаємодія з користувачами та перенаправлення WhatsApp
Після фальшивого входу в систему додаток відображає численні жіночі профілі, що містять зображення, імена та вік. Жоден з цих профілів насправді недоступний. Спроби взаємодії з ними пропонують користувачам ввести «код розблокування». Кожен профіль прив’язаний до певного номера WhatsApp, і введення очікуваного коду призводить до того, що додаток автоматично відкриває WhatsApp та ініціює розмову з цим номером, підтримуючи романтичне шахрайство та діяльність із соціальної інженерії.
Тихе спостереження та безперервне вилучення даних
GhostChat виконує шкідливі операції у фоновому режимі з моменту запуску, ще до етапу входу в систему. Він відстежує активність пристрою та передає зібрану інформацію на віддалений сервер командування та управління (C2). Шкідливе програмне забезпечення періодично сканує пристрій на наявність нового контенту, автоматично завантажуючи фотографії та перевіряючи наявність щойно створених або збережених документів кожні п'ять хвилин. Обсяг зібраних даних включає:
Ідентифікатори пристроїв, списки контактів, зображення та документи, такі як PDF-файли, файли Word, Excel та PowerPoint
Спільна інфраструктура та ланцюг зараження робочих столів
Інфраструктура GhostChat C2 також використовується для розповсюдження додаткових шкідливих компонентів. Серед них є DLL-файл, пов'язаний з ClickFix, методом, призначеним для обману користувачів, змушуючи їх запускати шкідливе програмне забезпечення, дотримуючись сфабрикованих інструкцій. Цей метод поширює загрозу за межі мобільних пристроїв і дозволяє заражати настільні комп'ютери.
Зловживання довіреними особами через фальшиві сповіщення
Кампанії ClickFix, пов’язані з GhostChat, покладаються на оманливі веб-сайти та підроблені попередження безпеки. У спостережуваних випадках зловмисники видають себе за Пакистанську команду реагування на комп’ютерні надзвичайні ситуації, показуючи тривожні повідомлення про ймовірні загрози національній інфраструктурі та урядовим мережам. Жертвам пропонується натиснути кнопку «Оновити», яка ініціює завантаження та виконання шкідливої DLL-бібліотеки. Після активації DLL-бібліотека повідомляє про системні дані, такі як ім’я комп’ютера та ім’я користувача, командному серверу, неодноразово перевіряє наявність подальших інструкцій та виконує отримані команди за допомогою PowerShell.
Захоплення облікового запису WhatsApp за допомогою шахрайства з QR-кодами
Зловмисники також влаштовують шахрайські схеми, спрямовані на користувачів WhatsApp, орієнтовані на мобільні пристрої. Жертв заманюють на шахрайський веб-сайт, який стверджує про свою приналежність до Міністерства оборони Пакистану, і заохочують приєднатися до фальшивої спільноти. Сканування наданого QR-коду пов'язує обліковий запис WhatsApp жертви з WhatsApp Web або Desktop, що перебуває під контролем зловмисника. Це надає повний доступ до чатів і контактів, фактично дозволяючи захопити обліковий запис без негайного відома користувача.
Стратегія дистрибуції та зменшення ризиків
GhostChat розповсюджується виключно за межами офіційних торгових майданчиків додатків. Він рекламується як додаток для знайомств або обміну повідомленнями та використовує тактику романтичного шахрайства, щоб переконати користувачів вручну встановити APK та дозволити встановлення з невідомих джерел. Після встановлення шкідливе програмне забезпечення негайно запитує дозволи та розпочинає приховану шпигунську діяльність. Ці скоординовані кампанії поєднують соціальну інженерію, шпигунське програмне забезпечення та викрадення облікових записів, щоб поставити під загрозу як мобільне, так і настільне середовище. Пильність щодо небажаних посилань, тривожних спливаючих вікон, неофіційних додатків та неочікуваних QR-кодів залишається критично важливою для захисту персональних даних та облікових записів користувачів.
