【安全圈】假意網戀設局，實為安卓間諜軟件植入

關鍵詞

間諜軟件

ESET 研究人員發現了一起針對巴基斯坦用戶的安卓間諜軟件攻擊活動，該活動以網戀詐騙為誘餌。攻擊者通過一款偽裝成聊天工具的惡意應用實施攻擊，這款應用會將對話流量轉接到 WhatsApp，而在浪漫偽裝的背后，其核心目的是竊取受感染設備中的數據。ESET 將該惡意軟件命名為GhostChat。

該威脅團伙似乎正在開展范圍更廣的監控行動，包括通過ClickFix 攻擊攻陷受害者電腦，以及通過WhatsApp 設備鏈接攻擊獲取受害者的 WhatsApp 賬戶訪問權限。

這些關聯攻擊活動均以仿冒巴基斯坦政府機構的網站為誘餌，受害者需從非官方渠道手動下載并安裝 GhostChat。該應用從未在 Google Play 上架，且默認啟用的 Google Play Protect 會對其進行攔截。

ESET 研究員盧卡斯?斯特凡科表示：“此次攻擊采用了一種我們在同類騙局中前所未見的欺騙手段 ——GhostChat 中的虛假女性資料會顯示為‘鎖定’狀態，需要輸入密碼才能查看。但實際上，這些密碼是硬編碼在應用中的，這只是一種社會工程學策略，目的是讓潛在受害者產生‘獲得專屬訪問權限’的錯覺。”

這款惡意應用盜用了一款正規約會軟件的圖標，卻不具備任何相應功能，僅作為移動設備上的誘捕工具和監控程序。受害者登錄后，會看到 14 個女性資料列表，每個資料都關聯一個帶有巴基斯坦國家代碼的 WhatsApp 號碼。使用本地號碼能讓資料看起來更像是巴基斯坦本地人，從而增加騙局的可信度。當用戶輸入所謂的解鎖碼后，應用會將其重定向至 WhatsApp，與該號碼開始聊天，而這些號碼實際上由威脅團伙控制。

在受害者使用該應用的過程中，甚至在登錄之前，GhostChat 間諜軟件就已在后臺運行。它會監控設備活動，并將敏感數據發送至命令與控制（C2）服務器。GhostChat 還支持持續監控：它會設置內容觀察者跟蹤新生成的圖片，并在圖片出現時立即上傳；同時，它會運行一個定時任務，每五分鐘檢查一次新文檔，以實現對數據的持續收集。

此次攻擊活動與一個更龐大的基礎設施相關聯，該基礎設施還支持基于 ClickFix 的惡意軟件投放和 WhatsApp 賬戶攻陷。這些攻擊均依賴仿冒網站、冒充政府機構，以及基于二維碼的設備鏈接方案，同時針對桌面端和移動端用戶。ClickFix是一種社會工程學攻擊手段，它通過看似合法的指示，誘使受害者手動執行惡意代碼。

除了利用 ClickFix 的桌面端攻擊，該基礎設施還支持針對 WhatsApp 用戶的移動端專項攻擊。受害者被誘導加入一個聲稱與巴基斯坦國防部相關的虛假社群頻道，并被要求掃描二維碼，將其安卓或蘋果設備鏈接至 WhatsApp 網頁版或桌面端。這種名為GhostPairing的攻擊方式，能讓攻擊者獲取受害者的聊天記錄和聯系人信息，獲得與合法用戶完全相同的賬戶可見性和控制權，從而暴露所有私人通信內容。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！