「GhostChat」と呼ばれる偽装モバイルアプリを通じて個人を狙う、高度なAndroidスパイウェアキャンペーン。
このマルウェアは Android/Spy.GhostChat.A として検出され、正規の出会い・チャットプラットフォームを装ってサイバー諜報を行います。
運用者はロマンス詐欺の手口とソーシャルエンジニアリングを組み合わせて端末を感染させ、機密データを流出させ、ユーザーの活動を監視します。
GhostChatアプリはGoogle Playストア外で配布されており、ユーザーはAPKを手動でインストールし、不明な提供元からの権限を付与する必要があります。
このアプリは、ユーザーの警戒心を下げるために「Dating Apps without payment」として知られる正規アプリのアイコンを模倣します。
インストール後、アプリは独自のソーシャルエンジニアリングの誘導を用います。リモートサーバーと通信しないログイン画面をユーザーに提示します。
その代わり、ユーザー名「chat」とパスワード「12345」という認証情報がアプリのバイナリに直接ハードコードされています。これは、脅威アクターが排他性を演出するために、アプリと一緒にこれら特定の認証情報を配布している可能性を示唆します。
アプリ内では、被害者に「Locked」と表示された偽の女性プロフィール一覧が提示されます。これらのプロフィールとやり取りするには、特定の解除コードを入力する必要があります。
ログイン認証情報と同様に、これらのコードもハードコードされており、リモートで検証されません。解除されると、アプリはユーザーをWhatsAppへリダイレクトし、特定の番号(国番号+92)との会話を開始させます。これは脅威アクターが管理している可能性が高いものです。
ユーザーが偽の出会い系インターフェースを操作している間、GhostChatはバックグラウンドで主要な悪意ある機能を実行します。スパイウェアは端末情報とユーザーデータを静かにコマンド&コントロール(C2)サーバーへ流出させます。
このマルウェアは端末IDと被害者の連絡先リストを収集し、テキストファイルとしてアップロードします。また、端末ストレージをスキャンして、画像、PDF文書、Word文書、Excelスプレッドシート、PowerPointプレゼンテーションなど、特定のファイル形式を探します。
初期の窃取にとどまらず、GhostChatは永続化と能動的な監視を維持します。
新規作成された画像を検知するためのコンテンツオブザーバーを設定し、5分ごとに新しい文書をスキャンする定期タスクをスケジュールして、感染端末の継続的な監視を確実にします。
welivesecurityの調査は、GhostChatの背後にいる運用者がマルチプラットフォームの諜報キャンペーンを実行していることを明らかにしました。
このより広範な作戦には、Windowsシステムを標的とする「ClickFix」攻撃と、WhatsAppアカウントの侵害を狙うデバイス連携攻撃が含まれます。
Windowsの経路では、攻撃者はパキスタンのコンピュータ緊急対応チーム(PKCERT)になりすました偽サイトを利用します。サイトは捏造されたセキュリティ警告を表示し、ユーザーにシステムの更新を促します。
ユーザーが従うと、PowerShellスクリプトを実行させられ、悪意あるDLLペイロード(file.dll)がダウンロードされます。
このペイロードは hitpak[.]org にあるC2サーバーへ接続し、base64でエンコードされたPowerShellコマンドを待ち受け、リモートコード実行(RCE)を可能にします。
同時に、アクターはパキスタン国防省の偽サイトを用いて「GhostPairing」攻撃を実施します。
この手法は、コミュニティチャンネルへの参加を装って被害者にQRコードをスキャンさせるよう誘導します。
実際には、コードをスキャンするとWhatsApp Webを介して被害者のWhatsAppアカウントが攻撃者の端末にリンクされ、脅威アクターは被害者のチャット履歴と連絡先に完全にアクセスできるようになります。
翻訳元: https://cyberpress.org/ghostchat-spyware-android-users-whatsapp/