サイバーニュース.jp

世界のサイバーなニュースを配信

GhostChatマルウェアがデバイスをロックし、パスコードを要求:ロマンス詐欺でAndroidユーザーを標的

カテゴリ:

概要

新たなAndroidスパイウェアキャンペーン「GhostChat」が、ロマンス詐欺と偽のチャットプロフィールを悪用し、特にパキスタンのユーザーを標的にしています。この悪意あるアプリは、データ窃盗と監視を目的としており、正規のアプリストアを迂回してAPKファイルとして配布されています。ESETの研究者らは、このキャンペーンが単なるAndroidスパイウェアに留まらず、Windowsシステムを標的とした広範なサイバースパイ活動の一部であると指摘しています。

GhostChatの攻撃手口

「Android/Spy.GhostChat.A」として検出されるGhostChatは、デートチャットプラットフォームを装っています。しかし、Google Playストアにはリストされておらず、ユーザーが「不明なソースからのインストール」を許可した後に手動でインストールするAPKとして配布されます。これにより、通常のアプリストアのセキュリティチェックを回避しています。GhostChatは、正規の「Dating Apps without payment」というアプリのアイコンを模倣して信頼性を偽装していますが、実際のデート機能は提供しません。

デバイスのロックと欺瞞的な認証

起動後、GhostChatは複数の権限を要求し、ユーザー名とパスワードの入力画面を表示します。しかし、これらの認証情報はアプリ内にハードコードされており(ユーザー名:「chat」、パスワード:「12345」)、リモートサーバーには送信されません。これは、攻撃者がAPKとログイン詳細を同時に配布し、標的を絞った作戦を展開していることを示唆しています。

ログインすると、被害者は14人の女性プロフィールを目にします。これらはすべて「ロック」されており、タップするとアンロックコードの入力が求められます。これらのコードもアプリ内にハードコードされており、オンラインで認証されることはありません。この設計は「独占的なアクセス」の錯覚を生み出し、攻撃者が特定のコードを被害者に共有することで、詐欺をより個人的でプライベートなものに感じさせることができます。

データ窃取と継続的な監視

各プロフィールにはパキスタン(+92)の国番号を持つWhatsApp番号が紐付けられており、あたかも「女の子」が実在し、地元の人であるかのような印象を与えます。正しいコードが入力されると、GhostChatは被害者をWhatsAppにリダイレクトし、紐付けられた番号との会話を開始させます。この番号はおそらく脅威アクターによって管理されています。

被害者がロマンス相手とチャットしていると信じ込んでいる間に、スパイウェアはすでにバックグラウンドで活動しています。ログイン前であっても、GhostChatはサイレントにコマンド&コントロール(C&C)サーバーに接続し、デバイスID、連絡先リスト、画像、PDF、Office文書を含むデバイス上のファイルを流出させます。さらに、新しい画像を継続的に監視し、5分ごとに新しい文書をスキャンして自動的にアップロードする設定も行います。

関連する脅威:Windowsへの感染とGhostPairing

ESETの調査によると、GhostChatはAndroidに限定されたものではなく、より広範なスパイ活動の一環です。同じC&Cインフラは、Windowsシステムに感染するように設計された悪意のあるバッチスクリプトやDLLファイルとも関連しています。

  • あるケースでは、パキスタンコンピュータ緊急対応チーム(PKCERT)を装った偽のウェブサイトが、偽の重大アラートを表示し、ユーザーを「アップデート」手順に従わせる「ClickFixスタイル」の攻撃に使用されました。これにより、base64でエンコードされたPowerShellコマンドを介してリモートコード実行が可能なDLLペイロードがダウンロードされ、攻撃者は感染したマシンを柔軟に制御できるようになりました。
  • 攻撃者たちは、「GhostPairing」と呼ばれる別のキャンペーンでWhatsAppの「リンク済みデバイス」機能を悪用しました。パキスタン国防省のチャンネルを装った偽のウェブサイトが、ユーザーをコミュニティに「参加」させるためにQRコードをスキャンするように誘い込みました。実際には、このQRコードは被害者のWhatsAppを攻撃者のデバイスにリンクさせ、セッションが取り消されるまでメッセージや連絡先の完全な可視性を提供しました。

対策と注意喚起

Google Play Protectは現在、既知のバージョンのスパイウェアをデフォルトで検出しますが、ユーザーは自身のデバイスのセキュリティに注意を払う必要があります。ESETは、以下の対策を強く推奨しています。

  • 不明なソースからのアプリのインストールを避ける。
  • 不審なAPKファイルや「独占的な」チャットのオファーには懐疑的になる。
  • WhatsAppの設定で「リンク済みデバイス」を定期的に確認し、不審なアクセスがないかチェックする。

このキャンペーンはパキスタンのユーザーに焦点を当てているようですが、ESETはまだ特定の脅威アクターグループには帰属していません。

元記事: https://gbhackers.com/ghostchat-app/

投稿をさらに読み込む