GhostChat Mobile Malware
GhostChat ist eine schädliche Android-Anwendung, die sich als Chat- oder Dating-Plattform ausgibt, aber in Wirklichkeit als Spyware fungiert. Ihr Hauptzweck ist das Sammeln sensibler Daten von infizierten Geräten. Analysen deuten darauf hin, dass Nutzer in Pakistan die Hauptziele sind. Es wird dringend empfohlen, die Anwendung sofort zu entfernen, sobald sie auf einem Gerät entdeckt wird, da eine weitere Installation das Risiko von Datendiebstahl und einer umfassenderen Kompromittierung erheblich erhöht.
Inhaltsverzeichnis
Irreführendes Onboarding und gefälschte Authentifizierung
Nach der Installation fordert GhostChat aggressiv zahlreiche Geräteberechtigungen an. Nach deren Erteilung erscheint eine Anmeldeoberfläche, die scheinbar gültige Anmeldedaten erfordert. Dieser Vorgang ist jedoch betrügerisch, da die vermeintlichen Authentifizierungsdaten fest in die Anwendung einprogrammiert und nicht über einen legitimen Backend-Dienst verifiziert werden. Der Anmeldevorgang dient lediglich dazu, Authentizität vorzutäuschen.
Manipulative Nutzerinteraktion und WhatsApp-Umleitung
Nach dem gefälschten Login zeigt die App zahlreiche weibliche Profile mit Bildern, Namen und Altersangaben an. Keines dieser Profile ist tatsächlich zugänglich. Beim Versuch, mit ihnen zu interagieren, werden die Nutzer zur Eingabe eines „Entsperrcodes“ aufgefordert. Jedes Profil ist mit einer bestimmten WhatsApp-Nummer verknüpft. Die Eingabe des erwarteten Codes führt dazu, dass die App automatisch WhatsApp öffnet und eine Konversation mit dieser Nummer initiiert. Dies unterstützt romantische Betrugsmaschen und Social-Engineering-Aktivitäten.
Stille Überwachung und kontinuierlicher Datenabfluss
GhostChat führt ab dem Start, noch vor dem Login, im Hintergrund schädliche Aktionen aus. Es überwacht die Geräteaktivitäten und übermittelt die gesammelten Informationen an einen entfernten Command-and-Control-Server (C2). Die Schadsoftware scannt das Gerät regelmäßig nach neuen Inhalten, lädt automatisch Fotos hoch und prüft alle fünf Minuten auf neu erstellte oder gespeicherte Dokumente. Zu den gesammelten Daten gehören:
Geräte-IDs, Kontaktlisten, Bilder und Dokumente wie PDFs, Word-, Excel- und PowerPoint-Dateien
Infektionskette für gemeinsam genutzte Infrastruktur und Desktop-Computer
Die GhostChat-C2-Infrastruktur dient auch der Verbreitung weiterer Schadsoftware. Dazu gehört eine DLL-Datei, die mit ClickFix verknüpft ist – einer Technik, die Benutzer durch gefälschte Anweisungen zur Ausführung von Schadsoftware verleitet. Diese Methode erweitert die Bedrohung über mobile Geräte hinaus und ermöglicht die Infektion von Desktop-Systemen.
Missbrauch vertrauenswürdiger Identitäten durch gefälschte Warnmeldungen
ClickFix-Kampagnen im Zusammenhang mit GhostChat nutzen irreführende Webseiten und gefälschte Sicherheitswarnungen. In beobachteten Fällen geben sich Angreifer als Mitarbeiter des pakistanischen Computer Emergency Response Team (CERT) aus und zeigen alarmierende Meldungen über angebliche Bedrohungen der nationalen Infrastruktur und Regierungsnetzwerke an. Die Opfer werden aufgefordert, auf einen „Aktualisieren“-Button zu klicken, wodurch die schädliche DLL-Datei heruntergeladen und ausgeführt wird. Sobald die DLL aktiv ist, übermittelt sie Systemdetails wie Computername und Benutzername an einen Befehlsserver, prüft wiederholt auf weitere Anweisungen und führt empfangene Befehle mithilfe von PowerShell aus.
WhatsApp-Kontoübernahme per QR-Code-Betrug
Cyberkriminelle verüben auch mobile Betrugsversuche, die sich an WhatsApp-Nutzer richten. Die Opfer werden auf eine gefälschte Website gelockt, die vorgibt, mit dem pakistanischen Verteidigungsministerium in Verbindung zu stehen, und dazu aufgefordert, einer gefälschten Community beizutreten. Durch Scannen eines bereitgestellten QR-Codes wird das WhatsApp-Konto des Opfers mit WhatsApp Web oder der Desktop-Version verknüpft, die unter die Kontrolle der Angreifer geraten. Dies ermöglicht den vollen Zugriff auf Chats und Kontakte und somit die unbemerkte Übernahme des Kontos.
Vertriebsstrategie und Risikominderung
GhostChat wird ausschließlich außerhalb offizieller App-Stores vertrieben. Die App wird als Dating- oder Messaging-Anwendung beworben und nutzt Methoden des Liebesbetrugs, um Nutzer zur manuellen Installation der APK-Datei und zur Aktivierung der Installation aus unbekannten Quellen zu verleiten. Nach der Installation fordert die Schadsoftware sofort Berechtigungen an und beginnt mit verdeckten Spionageaktivitäten. Diese koordinierten Kampagnen kombinieren Social Engineering, Spyware und Kontoübernahme, um sowohl mobile als auch Desktop-Systeme zu kompromittieren. Wachsamkeit gegenüber unerwünschten Links, alarmierenden Pop-ups, inoffiziellen Apps und unerwarteten QR-Codes ist weiterhin unerlässlich, um persönliche Daten und Benutzerkonten zu schützen.
