GhostChat 行動惡意軟體
GhostChat 是一款惡意安卓應用程序,它偽裝成聊天或約會平台,實則暗藏間諜軟體的功能。其主要目的是竊取受感染設備上的敏感資訊。分析表明,巴基斯坦用戶是其主要目標。如果在設備上發現該應用程序,強烈建議立即將其刪除,因為其持續存在會顯著增加資料被盜和系統遭受更大範圍攻擊的風險。
目錄
欺騙性註冊和虛假身份驗證
安裝完成後,GhostChat 會經常要求多個裝置權限。權限授予後,使用者會看到一個看似需要有效憑證的登入介面。但實際上,這個過程完全是騙局,因為所謂的身份驗證資訊是硬編碼到應用程式中的,而不是透過合法的後端服務進行驗證的。登入步驟存在的唯一目的就是製造一種虛假的真實感。
操縱性用戶互動和 WhatsApp 重定向
用戶透過虛假登入後,該應用程式會顯示大量女性個人資料,包括照片、姓名和年齡。但這些個人資料實際上都無法存取。嘗試與這些個人資料互動時,系統會提示使用者輸入「解鎖碼」。每個個人資料都綁定到一個特定的WhatsApp號碼,輸入相應的解鎖碼後,應用程式會自動打開WhatsApp並與該號碼發起對話,從而助長了愛情詐騙和社交工程攻擊。
靜默監視和持續資料洩露
GhostChat 從啟動之初,甚至在登入之前,就在後台執行惡意操作。它會監控設備活動,並將收集到的信息傳輸到遠端命令與控制 (C2) 伺服器。該惡意軟體會定期掃描裝置以查找新內容,自動上傳照片,並每五分鐘檢查一次新建立或儲存的文件。收集的數據範圍包括:
裝置識別碼、聯絡人清單、圖像以及文檔,例如 PDF、Word、Excel 和 PowerPoint 文件
共用基礎設施和桌面感染鏈
GhostChat C2 基礎架構也被用來散佈其他惡意元件。其中包括一個與 ClickFix 關聯的 DLL 檔案。 ClickFix 是一種旨在誘騙使用者依照偽造的指令自行執行惡意軟體的技術。這種方法將威脅範圍擴展到行動裝置之外,並能夠感染桌上型系統。
利用虛假警報濫用可信身份
與 GhostChat 關聯的 ClickFix 攻擊活動依賴誤導性網站和偽造的安全警告。在已發現的案例中,攻擊者冒充巴基斯坦電腦緊急應變小組 (CERT),顯示有關國家基礎設施和政府網路面臨威脅的聳人聽聞的資訊。受害者被誘導點擊「更新」按鈕,該按鈕會啟動惡意 DLL 的下載和執行。一旦激活,該 DLL 會將電腦名稱和使用者名稱等系統詳細資訊報告給命令伺服器,反覆檢查是否有進一步的指令,並使用 PowerShell 執行接收到的命令。
透過二維碼詐騙盜用 WhatsApp 帳號
不法分子也會針對 WhatsApp 用戶實施以行動裝置為中心的詐騙。受害者會被誘騙到一個聲稱與巴基斯坦國防部有關聯的假網站,並被鼓勵加入一個虛假社區。掃描提供的二維碼後,受害者的 WhatsApp 帳號會被連接到攻擊者控制的 WhatsApp 網頁版或桌面版。這使得攻擊者可以完全存取用戶的聊天記錄和聯絡人,從而在用戶不知情的情況下有效地接管帳戶。
分銷策略和風險緩解
GhostChat 僅在官方應用程式商店之外分發。它偽裝成約會或即時通訊應用,利用愛情騙局誘騙用戶手動安裝 APK 檔案並啟用「來自未知來源的應用程式安裝」選項。一旦安裝完成,該惡意軟體會立即要求權限並啟動隱藏的間諜活動。這些協同攻擊結合了社交工程、間諜軟體和帳號劫持,旨在入侵行動裝置和桌上型電腦。因此,對未經請求的連結、可疑的彈跳窗、非官方應用程式和意外出現的二維碼保持警惕,對於保護個人資料和用戶帳戶至關重要。
