TokyoBlackHatNews

gbhackers.com 5分で読了

GhostChatスパイウェアがWhatsApp経由でAndroidユーザーを標的にし、機密データを窃取

GhostChatと呼ばれる巧妙なAndroidスパイウェアが、WhatsAppを介したロマンス詐欺でパキスタン在住のユーザーをだましています。

このマルウェアは、被害者の端末から連絡先、写真、ファイルなどの機密データを取得します。

脅威アクターは出会い系アプリを装って標的を引き込みます。GhostChat は「Dating Apps without payment」という正規のチャットプラットフォームを模倣し、信頼を得るためにそのアイコンを盗用しています。Google Playには存在しないため、ユーザーはAPKをサイドロードする必要があります。

アプリは起動直後に権限を要求します。固定の認証情報が埋め込まれたログイン画面を表示し、ユーザー名は「chat」、パスワードは「12345」です。ログイン後、偽の女性プロフィールが14件表示され、それぞれが被害者に共有される事前設定のコードでロックされています。

これらのプロフィールはパキスタンのWhatsApp番号(+92コード)にリンクしています。被害者がコードを入力すると、攻撃者が運営するチャット用WhatsAppへリダイレクトされます。これにより偽の特別感が作られ、スパイウェアの本当の目的である「継続的な監視」が隠されます。

ステルスなデータ窃取

GhostChatはログイン前からバックグラウンドで有効化されます。端末ID、連絡先一覧全体(テキストファイルとして)、画像、PDF、Word文書、Excelシート、PowerPointファイル などの保存ファイルを、hitpak[.]orgにあるC&Cサーバーへ送信します。

Image
GhostChatの攻撃フロー (Source: welivesecurity)

このマルウェアは新しい写真を検知するためのコンテンツオブザーバーを設定し、即座にアップロードします。また5分ごとにタスクを実行して新しい文書をスキャンし、窃取します。これにより、ユーザーに気付かれないまま継続的な監視が可能になります。

Android/Spy.GhostChat.Aとして検出され、基本的なチェックを回避します。ESETがApp Defense Allianceのパートナーとして報告したことにより、Google Play Protectは現在、既知のサンプルをブロックしています。

同じアクターは関連する作戦も実行しています。C&Cサーバーの分析により、hitpak[.]org/notepad2[.]dllからDLLを取得して実行するバッチスクリプトが見つかりました。これらは「ClickFix」の手口を用い、偽の警告でユーザーを誘導し、rundll32.exe経由で悪意のあるコードを実行させます。

あるサイトbuildthenations[.]info/PKCERT/pkcert.htmlは、パキスタンのPKCERTになりすましています。偽の国家的脅威を警告し、クリックを促してfile.dll(SHA-1: 8B103D0AA37E5297143E21949471FD4F6B2ECBAA、Win64/Agent.HEMとして検出)をダウンロードさせます。

このDLLは端末情報を送信した後、5分ごとにbase64エンコードされたPowerShellコマンドをポーリングします。

それらを非表示で実行します: powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command “…”。確認時点では有効なペイロードはありませんでした。

WhatsAppの乗っ取り

攻撃者はWhatsAppのリンク機能も悪用します。偽の国防省ページが「コミュニティ参加」用のQRコードを提示します。スキャンすると被害者のスマホが攻撃者のWhatsApp Webにリンクされ、GhostPairingと呼ばれています。

Image
GhostChatは実行時に複数の権限を要求する (Source: welivesecurity)

welivesecurity 被害者は2時間後に新しいデバイスの通知を目にしますが、その時点で被害は発生しています。攻撃者は所有者と同等のアクセス権で、チャット、連絡先、履歴を読み取れます。これは、Signalに対するBadBazaarのような過去の手口を想起させます。

2025年9月11日、パキスタンからのVirusTotalアップロードにより確認されました。GhostChat(SHA-1: B15B1F3F2227EBA4B69C85BDB638DF34B9D30B6A、ファイル名 Live Chat.apk)は文化的な誘因を用いて現地の人々を標的にしています。

現時点で確定的な帰属はありませんが、マルチプラットフォームの関連性は、連携したスパイ活動の可能性を示唆します。

C&CのIP 188.114.96[.]10(Cloudflareホスティング)が全体を結び付けています。完全なIoCはESETのGitHubに掲載されています。

  • 不明なAPKのインストールをブロックし、Google Playの利用に限定する。
  • アプリの権限要求や不審なログインを精査する。
  • WhatsAppで不明なリンク済みデバイスがないか確認し、設定から解除する。
  • Play Protectを有効化し、ESET Mobile Securityなどのツールでスキャンする。
  • 偽サイトを報告する: [email protected]

このキャンペーンはソーシャルエンジニアリング、モバイルマルウェア、そしてクロスプラットフォームの手口を組み合わせています。パキスタンのAndroidユーザーは高いリスクにさらされているため、GhostChatの影を避けるべく警戒を怠らないでください。

翻訳元: https://gbhackers.com/ghostchat-targets-whatsapp-users/

ソース: gbhackers.com
#Androidスパイウェア #C2サーバー #ESET #GhostChat #WhatsApp #サイドロードAPK #ソーシャルエンジニアリング #パキスタン標的攻撃 #個人情報窃取 #恋愛詐欺

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚