Угроза под романтикой: Android-шпион GhostChat охотится на жертв в WhatsApp

Специалисты компании ESET выявили тщательно спланированную кампанию кибершпионажа, направленную на пользователей операционной системы Android. Злоумышленники прибегли к методам социальной инженерии, представляясь потенциальными романтическими партнерами через платформы онлайн-знакомств и мессенджер WhatsApp(принадлежит Meta, признанной экстремистской и запрещённой в России). Для распространения вредоносного ПО использовались неофициальные каналы, не включаемые в официальный каталог Google Play, что свидетельствует о высоком уровне адаптации злоумышленников к современным системам безопасности. Важно отметить, что данное приложение эффективно блокируется системой защиты Google Play Protect.

Механизм функционирования вредоносного ПО заключался в следующем: после инсталляции пользователи сталкивались с интерфейсом, содержащим 14 поддельных женских профилей, которые имитировали заблокированное состояние и требовали ввода специального пароля для доступа. Этот элемент социальной инженерии был ключевым в стратегии злоумышленников. «Впервые мы столкнулись с подобной тактикой, где фальшивые женские профили представляются эксклюзивными и требуют пароля. Однако на самом деле коды уже встроены в приложение, создавая иллюзию премиального сервиса», — отметил исследователь ESET Лукаш Штефанко. Каждый из профилей был связан с номером WhatsApp, зарегистрированным на территории Пакистана, что усиливало правдоподобность сценария. После ввода пароля пользователи получали доступ к чату, контролируемому злоумышленниками.

В процессе коммуникации приложение GhostChat в фоновом режиме осуществляло сбор данных, отслеживая активность устройства, передавая конфиденциальную информацию на удаленные серверы и постоянно мониторя действия пользователя. Приложение автоматически отправляло новые фотографии и каждые пять минут проверяло наличие новых документов, что свидетельствует о высокой степени автоматизации и эффективности вредоносного ПО. По данным ESET, GhostChat является частью более широкой инфраструктуры, разработанной теми же злоумышленниками, которые также применяют техники ClickFix и осуществляют взлом аккаунтов WhatsApp.

В рамках одной из своих стратегий злоумышленники создали фальшивые веб-сайты, имитирующие официальные государственные органы Пакистана. В другой схеме они предлагали пользователям присоединиться к «официальному сообществу», связанному с Министерством обороны, и отсканировать QR-код. Эта тактика приводила к атаке типа GhostPairing, в результате которой устройство пользователя синхронизировалось с аккаунтом WhatsApp Web, контролируемым злоумышленниками, предоставляя им полный доступ к переписке, списку контактов и истории чатов.