Эксперты ESET обнаружили необычную кампанию кибершпионажа против пользователей Android, замаскированную под романтические свидания. Они использовали приманку для знакомств WhatsApp (принадлежит компании «Мета», признанной экстремистской и запрещенной в России) и шпионское приложение, которое на самом деле вообще не нужно для общения. © Global Look Press Кампания построена на базе приложения для Android под названием GhostChat. С виду это чат-сервис с романтическим уклоном, но на практике это инструмент для тайного сбора данных с зараженных смартфонов. Приложение распространялось не в Google Play, а через сторонние источники, и жертвам приходилось устанавливать его вручную. Важно, что Google Play Protect по умолчанию блокирует GhostChat. Сценарий выглядел так: после установки GhostChat пользователь видел список из 14 женских анкет. Все они якобы были «заперты» и для доступа требовали ввода специального кода. Этот момент является ключевой частью социальной инженерии. «Подобный прием мы видим впервые: поддельные женские профили выглядят эксклюзивными, а доступ к ним якобы ограничен паролем. На самом деле коды просто вшиты в приложение и служат лишь для создания иллюзии качественного доступа», — объясняет исследователь ESET Лукаш Стефанко. Каждый профиль был привязан к определенному номеру WhatsApp с кодом страны Пакистана, что делало «знакомства» более правдоподобными. После ввода кода приложение просто перенаправляло жертву в WhatsApp, где начинался чат с номером, находящимся под контролем злоумышленников. Но самое интересное произошло на заднем плане. Пока пользователь переписывался (и даже до входа в приложение), GhostChat уже собирал данные. Шпионское приложение следило за активностью устройства, передавало конфиденциальную информацию на сервер управления, а также осуществляло постоянное наблюдение. Например, вредоносная программа автоматически отправляла новые изображения при их появлении, а также каждые пять минут проверяла наличие новых документов. По мнению ESET, GhostChat — это лишь часть более широкой инфраструктуры. Те же злоумышленники стоят за кампаниями с использованием техники ClickFix (когда жертву под видом «инструкций» убеждают выполнить вредоносные действия вручную) и атаками на учетные записи WhatsApp. В одном из сценариев пользователи были заманены на поддельные веб-сайты, маскирующиеся под правительственные организации Пакистана. В другом предложили присоединиться к «официальному сообществу», предположительно связанному с Минобороны, и попросили отсканировать QR-код. Вот как произошла атака GhostPairing: устройство жертвы было подключено к сети WhatsApp злоумышленника, предоставив ему полный доступ к переписке, контактам и истории чатов — фактически с теми же правами, что и владелец аккаунта.
Перфекционисты 😄👍
Идеально убрано! Спасибо 🙂
За дворы — отдельное спасибо! 👍