サイバーニュース.jp

世界のサイバーなニュースを配信

GhostChatスパイウェアがWhatsApp経由でAndroidユーザーを標的、機密データを窃取

カテゴリ:

概要:パキスタンのAndroidユーザーを狙う巧妙なスパイウェア「GhostChat」

GhostChatと呼ばれる巧妙なAndroidスパイウェアが、WhatsAppを介したロマンス詐欺でパキスタンを拠点とするユーザーを騙し、デバイスから連絡先、写真、ファイルなどの機密データを窃取していることがESETの研究により明らかになりました。攻撃者はデートアプリになりすまし、 unsuspecting usersを誘い込みます。

GhostChatの巧妙な感染手口

GhostChatは「Dating Apps without payment」という正規のチャットプラットフォームを模倣し、そのアイコンを盗用することでユーザーの信頼を得ます。Google Playでは入手できないため、被害者はAPKファイルをサイドロードする必要があります。アプリはインストール後すぐに広範な権限を要求し、ハードコードされた認証情報(ユーザー名「chat」、パスワード「12345」)でログイン画面を表示します。ログイン後には、被害者と共有されるプリセットコードでロックされた14の偽の女性プロフィールが表示されます。これらのプロフィールはパキスタンのWhatsApp番号にリンクされており、被害者がコードを入力すると、攻撃者が運営するチャットのためにWhatsAppにリダイレクトされる仕組みです。このプロセスは偽りの排他性を構築し、スパイウェアの真の目的である絶え間ないスパイ活動を隠蔽します。

ログイン前から始まるデータ窃取と継続的監視

GhostChatは、なんとログイン前であってもバックグラウンドで起動します。そして、デバイスID、テキストファイル形式の連絡先リスト全体、画像、PDF、Word文書、Excelシート、PowerPointファイルなどの保存されたファイルを、C&Cサーバー「hitpak[.]org」に不正送信します。マルウェアは新しい写真のコンテンツオブザーバーを設定し、撮影された画像を即座にアップロードする機能も持ちます。さらに、5分ごとにタスクを実行して新しいドキュメントをスキャンし、窃取することで、ユーザーに気づかれることなく継続的な監視を保証します。

Windowsプラットフォームへの攻撃と関連作戦

このスパイウェアは「Android/Spy.GhostChat.A」として検出され、基本的なセキュリティチェックを回避する能力を持っています。ESETがApp Defense Allianceのパートナーとして報告したことにより、Google Play Protectは既知のサンプルをブロックするようになりました。しかし、同じアクターが関連するWindowsプラットフォームへの作戦も展開していることが判明しています。C&Cサーバーの分析により、hitpak[.]org/notepad2[.]dllからDLLをフェッチして実行するバッチスクリプトが発見されました。これらは「ClickFix」トリックを使用し、偽の警告でユーザーに「rundll32.exe」を介して悪意のあるコードを実行させる手口です。「buildthenations[.]info/PKCERT/pkcert.html」というサイトは、パキスタンのPKCERTになりすまし、偽の国家の脅威を警告し、不正なDLL(file.dll、SHA-1: 8B103D0AA37E5297143E21949471FD4F6B2ECBAA、Win64/Agent.HEMとして検出)をダウンロードするクリックを促します。このDLLはマシンの詳細情報をホームサーバーに送信し、5分ごとにbase64エンコードされたPowerShellコマンドをポーリングして隠れて実行されます。

WhatsApp Web悪用による「GhostPairing」

攻撃者はWhatsAppのリンク機能も悪用しています。偽の国防省ページが「コミュニティ参加」のためのQRコードを提示し、これをスキャンすると、被害者の電話が攻撃者のWhatsApp Webにリンクされます。この手口は「GhostPairing」と呼ばれています。被害者は2時間後に新しいデバイス通知を見るものの、その時にはすでに被害は発生しています。攻撃者はチャット、連絡先、履歴に所有者として完全にアクセスできるようになるのです。これは、Signalに対する過去のBadBazaarのような戦術を想起させるものです。

脅威の発見とユーザーへの推奨対策

GhostChatは2025年9月11日、パキスタンからのVirusTotalへのアップロードを通じて発見されました(SHA-1: B15B1F3F2227EBA4B69C85BDB638DF34B9D30B6A、ファイル名 Live Chat.apk)。確固たる帰属はまだないものの、複数のプラットフォームにまたがる関係は、組織的なスパイ活動を示唆しています。C&CサーバーのIPアドレスは「188.114.96[.]10」(Cloudflareホスト)であることが判明しています。

  • 不明なAPKのインストールはブロックし、Google Playなどの信頼できるアプリストアのみを利用してください。
  • アプリの権限要求と不審なログインに細心の注意を払ってください。
  • WhatsAppの設定で不明なリンク済みデバイスがないか定期的に確認し、不審な場合は取り消してください。
  • Google Play Protectを常に有効にし、ESET Mobile Securityなどの信頼できるセキュリティツールで定期的にデバイスをスキャンしてください。
  • 不審なアプリやWebサイトを発見した場合は、速やかにセキュリティベンダーや関係機関に報告してください。

このキャンペーンは、ソーシャルエンジニアリング、モバイルマルウェア、およびクロスプラットフォームのトリックを巧妙に組み合わせています。パキスタンのAndroidユーザーは特に高いリスクに直面しており、GhostChatの影をかわすために常に警戒を怠らないことが重要です。

元記事: https://gbhackers.com/ghostchat-targets-whatsapp-users/

投稿をさらに読み込む