Романтическая афера: Android-шпион GhostChat охотится на жертв через WhatsApp

Романтическая афера: Android-шпион GhostChat охотится на жертв через WhatsApp Эксперты ESET обнаружили необычную кампанию кибершпионажа против пользователей Android, замаскированную под романтические свидания. Они использовали приманку для знакомств WhatsApp (принадлежит компании «Мета», признанной экстремистской и запрещенной в России) и шпионское приложение, которое на самом деле вообще не нужно для общения. © Global Look Press Кампания построена на базе приложения для Android под названием GhostChat. С виду это чат-сервис с романтическим уклоном, но на практике это инструмент для тайного сбора данных с зараженных смартфонов. Приложение распространялось не в Google Play, а через сторонние источники, и жертвам приходилось устанавливать его вручную. Важно, что Google Play Protect по умолчанию блокирует GhostChat. Сценарий выглядел так: после установки GhostChat пользователь видел список из 14 женских анкет. Все они якобы были «заперты» и для доступа требовали ввода специального кода. Этот момент является ключевой частью социальной инженерии. «Подобный прием мы видим впервые: поддельные женские профили выглядят эксклюзивными, а доступ к ним якобы ограничен паролем. На самом деле коды просто вшиты в приложение и служат лишь для создания иллюзии качественного доступа», — объясняет исследователь ESET Лукаш Стефанко. Каждый профиль был привязан к определенному номеру WhatsApp с кодом страны Пакистана, что делало «знакомства» более правдоподобными. После ввода кода приложение просто перенаправляло жертву в WhatsApp, где начинался чат с номером, находящимся под контролем злоумышленников. Но самое интересное произошло на заднем плане. Пока пользователь переписывался (и даже до входа в приложение), GhostChat уже собирал данные. Шпионское приложение следило за активностью устройства, передавало конфиденциальную информацию на сервер управления, а также осуществляло постоянное наблюдение. Например, вредоносная программа автоматически отправляла новые изображения при их появлении, а также каждые пять минут проверяла наличие новых документов. По мнению ESET, GhostChat — это лишь часть более широкой инфраструктуры. Те же злоумышленники стоят за кампаниями с использованием техники ClickFix (когда жертву под видом «инструкций» убеждают выполнить вредоносные действия вручную) и атаками на учетные записи WhatsApp. В одном из сценариев пользователи были заманены на поддельные веб-сайты, маскирующиеся под правительственные организации Пакистана. В другом предложили присоединиться к «официальному сообществу», предположительно связанному с Минобороны, и попросили отсканировать QR-код. Вот как произошла атака GhostPairing: устройство жертвы было подключено к сети WhatsApp злоумышленника, предоставив ему полный доступ к переписке, контактам и истории чатов — фактически с теми же правами, что и владелец аккаунта.