Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Logiciel malveillant mobile GhostChat

Logiciel malveillant mobile GhostChat

Par Mezo en Logiciels malveillants mobiles
Se traduisent par :

GhostChat est une application Android malveillante qui se présente comme une plateforme de chat ou de rencontres, tout en fonctionnant secrètement comme un logiciel espion. Son objectif principal est de collecter des informations sensibles sur les appareils infectés. Les analyses indiquent que les utilisateurs au Pakistan sont les principales cibles. Il est fortement conseillé de supprimer immédiatement l'application si elle est détectée sur un appareil, car sa présence continue augmente considérablement le risque de vol de données et de compromission plus importante du système.

Intégration trompeuse et fausse authentification

Après son installation, GhostChat demande de manière insistante de nombreuses autorisations d'accès à l'appareil. Une fois accordées, les utilisateurs sont confrontés à une interface de connexion qui semble exiger des identifiants valides. Ce processus est entièrement frauduleux, car les informations d'authentification supposées sont intégrées directement dans l'application au lieu d'être vérifiées par un service backend légitime. L'étape de connexion n'a d'autre but que de créer une illusion d'authenticité.

Interaction manipulatrice avec les utilisateurs et redirection WhatsApp

Après une fausse connexion, l'application affiche de nombreux profils féminins avec photos, noms et âges. Aucun de ces profils n'est réellement accessible. Toute tentative d'interaction invite les utilisateurs à saisir un « code de déverrouillage ». Chaque profil est lié à un numéro WhatsApp spécifique ; la saisie du code attendu entraîne l'ouverture automatique de WhatsApp et l'engagement d'une conversation avec ce numéro, facilitant ainsi les arnaques sentimentales et le harcèlement en ligne.

Surveillance silencieuse et exfiltration continue de données

GhostChat exécute des opérations malveillantes en arrière-plan dès son lancement, avant même la connexion. Il surveille l'activité de l'appareil et transmet les informations collectées à un serveur de commande et de contrôle (C2) distant. Le logiciel malveillant analyse périodiquement l'appareil à la recherche de nouveaux contenus, télécharge automatiquement les photos et vérifie toutes les cinq minutes la présence de documents nouvellement créés ou enregistrés. Les données collectées comprennent :

Identifiants d'appareils, listes de contacts, images et documents tels que les fichiers PDF, Word, Excel et PowerPoint

Chaîne d’infection des infrastructures partagées et des postes de travail

L'infrastructure C2 de GhostChat sert également à diffuser des composants malveillants supplémentaires. Parmi eux figure un fichier DLL associé à ClickFix, une technique conçue pour inciter les utilisateurs à exécuter eux-mêmes des logiciels malveillants en suivant des instructions falsifiées. Cette méthode étend la menace au-delà des appareils mobiles et permet l'infection des ordinateurs de bureau.

Abus d’identités de confiance par le biais de fausses alertes

Les campagnes ClickFix liées à GhostChat utilisent des sites web trompeurs et de fausses alertes de sécurité. Dans les cas observés, les attaquants usurpent l'identité de l'équipe d'intervention d'urgence informatique du Pakistan (PCERT), affichant des messages alarmistes concernant de prétendues menaces pesant sur les infrastructures nationales et les réseaux gouvernementaux. Les victimes sont incitées à cliquer sur un bouton « Mettre à jour », ce qui déclenche le téléchargement et l'exécution d'une DLL malveillante. Une fois active, cette DLL transmet à un serveur de commandes des informations système telles que le nom de l'ordinateur et le nom d'utilisateur, vérifie régulièrement la présence d'instructions supplémentaires et exécute les commandes reçues via PowerShell.

Arnaques à la prise de contrôle de comptes WhatsApp via code QR

Des cybercriminels mènent également des escroqueries mobiles ciblant les utilisateurs de WhatsApp. Les victimes sont attirées vers un site web frauduleux prétendant être affilié au ministère de la Défense pakistanais et sont incitées à rejoindre une fausse communauté. Le scan d'un code QR permet de connecter le compte WhatsApp de la victime à WhatsApp Web ou Desktop, contrôlé par l'attaquant. Ce dernier a alors un accès complet aux conversations et aux contacts, ce qui permet de prendre le contrôle du compte à l'insu de l'utilisateur.

Stratégie de distribution et atténuation des risques

GhostChat est distribué exclusivement en dehors des plateformes de téléchargement d'applications officielles. Présenté comme une application de rencontre ou de messagerie, il utilise des techniques d'escroquerie sentimentale pour inciter les utilisateurs à installer manuellement le fichier APK et à autoriser l'installation d'applications provenant de sources inconnues. Une fois installé, le logiciel malveillant demande immédiatement des autorisations et lance des activités d'espionnage clandestines. Ces campagnes coordonnées combinent ingénierie sociale, logiciels espions et piratage de comptes pour compromettre les environnements mobiles et de bureau. La vigilance face aux liens non sollicités, aux fenêtres publicitaires intempestives, aux applications non officielles et aux codes QR inattendus demeure essentielle pour protéger les données personnelles et les comptes utilisateurs.

Tendance

Arnaque par e-mail concernant la protection de la...

Hameçonnage, Courrier indésirable
Les courriels inattendus prétendant signaler des problèmes de sécurité urgents doivent toujours être traités avec prudence. Les cybercriminels exploitent fréquemment la peur et l'urgence pour inciter les utilisateurs à commettre des erreurs coûteuses. Les courriels se prétendant « protection de la sécurité informatique » en sont un exemple flagrant. Ces messages ne sont associés à aucune...

Le plus regardé

Chargement...