ESET 研究人员发现了一起针对巴基斯坦用户的安卓间谍软件攻击活动,该活动以网恋诈骗为诱饵。攻击者通过一款伪装成聊天工具的恶意应用实施攻击,这款应用会将对话流量转接到 WhatsApp,而在浪漫伪装的背后,其核心目的是窃取受感染设备中的数据。ESET 将该恶意软件命名为GhostChat。
该威胁团伙似乎正在开展范围更广的监控行动,包括通过ClickFix 攻击攻陷受害者电脑,以及通过WhatsApp 设备链接攻击获取受害者的 WhatsApp 账户访问权限。
这些关联攻击活动均以仿冒巴基斯坦政府机构的网站为诱饵,受害者需从非官方渠道手动下载并安装 GhostChat。该应用从未在 Google Play 上架,且默认启用的 Google Play Protect 会对其进行拦截。
ESET 研究员卢卡斯・斯特凡科表示:“此次攻击采用了一种我们在同类骗局中前所未见的欺骗手段 ——GhostChat 中的虚假女性资料会显示为‘锁定’状态,需要输入密码才能查看。但实际上,这些密码是硬编码在应用中的,这只是一种社会工程学策略,目的是让潜在受害者产生‘获得专属访问权限’的错觉。”
这款恶意应用盗用了一款正规约会软件的图标,却不具备任何相应功能,仅作为移动设备上的诱捕工具和监控程序。受害者登录后,会看到 14 个女性资料列表,每个资料都关联一个带有巴基斯坦国家代码的 WhatsApp 号码。使用本地号码能让资料看起来更像是巴基斯坦本地人,从而增加骗局的可信度。当用户输入所谓的解锁码后,应用会将其重定向至 WhatsApp,与该号码开始聊天,而这些号码实际上由威胁团伙控制。
在受害者使用该应用的过程中,甚至在登录之前,GhostChat 间谍软件就已在后台运行。它会监控设备活动,并将敏感数据发送至命令与控制(C2)服务器。GhostChat 还支持持续监控:它会设置内容观察者跟踪新生成的图片,并在图片出现时立即上传;同时,它会运行一个定时任务,每五分钟检查一次新文档,以实现对数据的持续收集。
此次攻击活动与一个更庞大的基础设施相关联,该基础设施还支持基于 ClickFix 的恶意软件投放和 WhatsApp 账户攻陷。这些攻击均依赖仿冒网站、冒充政府机构,以及基于二维码的设备链接方案,同时针对桌面端和移动端用户。ClickFix是一种社会工程学攻击手段,它通过看似合法的指示,诱使受害者手动执行恶意代码。
除了利用 ClickFix 的桌面端攻击,该基础设施还支持针对 WhatsApp 用户的移动端专项攻击。受害者被诱导加入一个声称与巴基斯坦国防部相关的虚假社群频道,并被要求扫描二维码,将其安卓或苹果设备链接至 WhatsApp 网页版或桌面端。这种名为GhostPairing的攻击方式,能让攻击者获取受害者的聊天记录和联系人信息,获得与合法用户完全相同的账户可见性和控制权,从而暴露所有私人通信内容。
发表评论
您还未登录,请先登录。
登录