GhostChat 移动恶意软件

GhostChat 是一款恶意安卓应用程序，它伪装成聊天或约会平台，实则暗藏间谍软件的功能。其主要目的是窃取受感染设备上的敏感信息。分析表明，巴基斯坦用户是其主要目标。如果在设备上发现该应用程序，强烈建议立即将其删除，因为其持续存在会显著增加数据被盗和系统遭受更大范围攻击的风险。

欺骗性注册和虚假身份验证

安装完成后，GhostChat 会频繁请求多个设备权限。权限授予后，用户会看到一个看似需要有效凭据的登录界面。但实际上，这个过程完全是骗局，因为所谓的身份验证信息是硬编码到应用程序中的，而不是通过合法的后端服务进行验证的。登录步骤存在的唯一目的就是制造一种虚假的真实感。

操纵性用户互动和 WhatsApp 重定向

用户通过虚假登录后，该应用会显示大量女性个人资料，包括照片、姓名和年龄。但这些个人资料实际上都无法访问。尝试与这些个人资料互动时，系统会提示用户输入“解锁码”。每个个人资料都绑定到一个特定的WhatsApp号码，输入相应的解锁码后，应用会自动打开WhatsApp并与该号码发起对话，从而助长了爱情诈骗和社交工程攻击。

静默监视和持续数据泄露

GhostChat 从启动之初，甚至在登录之前，就在后台执行恶意操作。它会监控设备活动，并将收集到的信息传输到远程命令与控制 (C2) 服务器。该恶意软件会定期扫描设备以查找新内容，自动上传照片，并每五分钟检查一次新创建或存储的文档。收集的数据范围包括：

设备标识符、联系人列表、图像以及文档，例如 PDF、Word、Excel 和 PowerPoint 文件

共享基础设施和桌面感染链

GhostChat C2 基础设施也被用于分发其他恶意组件。其中包括一个与 ClickFix 关联的 DLL 文件。ClickFix 是一种旨在诱骗用户按照伪造的指令自行执行恶意软件的技术。这种方法将威胁范围扩展到移动设备之外，并能够感染桌面系统。

利用虚假警报滥用可信身份

与 GhostChat 关联的 ClickFix 攻击活动依赖于误导性网站和伪造的安全警告。在已发现的案例中，攻击者冒充巴基斯坦计算机应急响应小组 (CERT)，显示有关国家基础设施和政府网络面临威胁的耸人听闻的信息。受害者被诱导点击“更新”按钮，该按钮会启动恶意 DLL 的下载和执行。一旦激活，该 DLL 会将计算机名称和用户名等系统详细信息报告给命令服务器，反复检查是否有进一步的指令，并使用 PowerShell 执行接收到的命令。

通过二维码诈骗盗用 WhatsApp 账号

不法分子还会针对 WhatsApp 用户实施以移动设备为中心的诈骗。受害者会被诱骗到一个声称与巴基斯坦国防部有关联的虚假网站，并被鼓励加入一个虚假社区。扫描提供的二维码后，受害者的 WhatsApp 帐户会被连接到攻击者控制的 WhatsApp 网页版或桌面版。这使得攻击者可以完全访问用户的聊天记录和联系人，从而在用户不知情的情况下有效地接管帐户。

分销策略和风险缓解

GhostChat 仅在官方应用商店之外分发。它伪装成约会或即时通讯应用，利用爱情骗局诱骗用户手动安装 APK 文件并启用“来自未知来源的应用安装”选项。一旦安装完成，该恶意软件会立即请求权限并启动隐蔽的间谍活动。这些协同攻击结合了社交工程、间谍软件和账户劫持，旨在入侵移动设备和桌面电脑。因此，对未经请求的链接、可疑的弹窗、非官方应用和意外出现的二维码保持警惕，对于保护个人数据和用户账户至关重要。