複数ライセンス割引見積
脅威データベース モバイルマルウェア GhostChatモバイルマルウェア

GhostChatモバイルマルウェア

モバイルマルウェアMezoまで
翻訳内容:

GhostChatは、チャットや出会い系プラットフォームを装いながら、実際にはスパイウェアとして動作する悪意のあるAndroidアプリケーションです。主な目的は、感染したデバイスから機密情報を収集することです。分析によると、パキスタンのユーザーが主な標的となっています。デバイス上でこのアプリケーションが発見された場合は、直ちに削除することを強くお勧めします。アプリケーションが継続的に存在すると、データ盗難やより広範な侵害のリスクが大幅に高まります。

欺瞞的なオンボーディングと偽の認証

GhostChatはインストール後、複数のデバイス権限を執拗に要求します。権限が付与されると、有効な認証情報を要求するログインインターフェースが表示されます。このプロセスは完全に不正です。認証情報は正規のバックエンドサービスによって検証されるのではなく、アプリケーションにハードコードされているからです。ログイン手順は、本物であるという幻想を作り出すためだけに存在しています。

操作的なユーザーインタラクションとWhatsAppリダイレクト

偽のログイン後、アプリは画像、名前、年齢が記載された多数の女性プロフィールを表示します。これらのプロフィールは実際にはアクセスできません。これらのプロフィールにアクセスしようとすると、「ロック解除コード」の入力を求められます。各プロフィールは特定のWhatsApp番号に紐付けられており、指定されたコードを入力すると、アプリは自動的にWhatsAppを開き、その番号との会話を開始します。これは、ロマンス詐欺やソーシャルエンジニアリング活動に利用されます。

サイレント監視と継続的なデータ流出

GhostChatは起動直後から、ログイン段階以前から、バックグラウンドで悪意のある操作を実行します。デバイスのアクティビティを監視し、収集した情報をリモートのコマンドアンドコントロール(C2)サーバーに送信します。マルウェアは定期的にデバイスをスキャンして新しいコンテンツを探し、写真を自動的にアップロードし、5分ごとに新しく作成または保存されたドキュメントを確認します。収集されるデータの範囲は以下のとおりです。

デバイス識別子、連絡先リスト、画像、PDF、Word、Excel、PowerPoint ファイルなどのドキュメント

共有インフラストラクチャとデスクトップ感染チェーン

GhostChatのC2インフラストラクチャは、追加の悪意のあるコンポーネントの配布にも利用されています。その中には、ClickFixに関連するDLLファイルが含まれています。ClickFixは、偽造された指示に従ってユーザーを欺き、マルウェアを自ら実行させる手法です。この手法により、脅威はモバイルデバイスにとどまらず、デスクトップシステムへの感染も可能になります。

偽のアラートによる信頼されたIDの悪用

GhostChatに関連するClickFixキャンペーンは、誤解を招くウェブサイトや偽のセキュリティ警告を利用しています。観察された事例では、攻撃者はパキスタンのコンピュータ緊急対応チームを装い、国家インフラや政府ネットワークへの脅威を示唆する警告メッセージを表示しています。被害者は「更新」ボタンをクリックするよう促され、クリックすると悪意のあるDLLのダウンロードと実行が開始されます。DLLがアクティブになると、コンピュータ名やユーザー名などのシステム詳細情報をコマンドサーバーに報告し、追加の指示を繰り返し確認し、受信したコマンドをPowerShellを使用して実行します。

QRコード詐欺によるWhatsAppアカウント乗っ取り

脅威アクターは、WhatsAppユーザーを狙ったモバイル中心の詐欺も実行しています。被害者は、パキスタン国防省と提携していると主張する偽のウェブサイトに誘導され、偽のコミュニティへの参加を促されます。提供されたQRコードをスキャンすると、被害者のWhatsAppアカウントが攻撃者の管理下にあるWhatsApp Webまたはデスクトップにリンクされます。これにより、チャットや連絡先への完全なアクセスが許可され、ユーザーが気付かないうちにアカウントを乗っ取ることが可能となります。

流通戦略とリスク軽減

GhostChatは、公式アプリマーケットプレイス以外でのみ配布されています。出会い系アプリやメッセージングアプリとして宣伝され、ロマンス詐欺の手口を用いてユーザーにAPKを手動でインストールさせ、不明なソースからのインストールを許可させます。インストールされると、マルウェアは直ちに権限を要求し、秘密裏にスパイ活動を開始します。これらの組織的な攻撃は、ソーシャルエンジニアリング、スパイウェア、アカウントハイジャックを組み合わせ、モバイル環境とデスクトップ環境の両方を侵害します。迷惑リンク、警告ポップアップ、非公式アプリ、予期しないQRコードへの警戒は、個人データとユーザーアカウントを保護するために依然として重要です。

トレンド

ITセキュリティ保護メール詐欺

フィッシング, スパム
緊急のセキュリティ問題を訴える予期せぬメールには、常に注意が必要です。サイバー犯罪者は、ユーザーの恐怖心や切迫感につけ込み、大きな代償を伴うミスを犯させようとします。いわゆる「ITセキュリティ保護」メールは、まさにこの手口の好例です。これらのメッセージは、正当な企業、組織、団体とは一切関係がなく、受信者を欺いて機密情報を引き出させることのみを目的としています。 ITサポートを装った偽のメッセージ ITセキュリティ保護を装ったメール詐欺は、社内のITセキュリティチームから送信されたように巧妙に仕組まれています。受信者は、パスワードの有効期限が近づいている、またはアカウントが危険にさらされて...

マルチセンダーエアドロップ詐欺

不正なウェブサイト
ウェブ閲覧中に常に注意を払うことはもはやオプションではなく、必須です。脅威アクターは、正当なプラットフォーム、ブランド、サービスを模倣した欺瞞的なスキームを絶えず考案し、信頼を悪用して貴重なデータや資産を盗み出します。このリスクが最も顕著なのは暗号通貨エコシステムであり、一度の不注意な操作が取り返しのつかない経済的損失につながる可能性があります。 マルチセンダーエアドロップ詐欺:欺瞞的ななり...

PDFSIDERマルウェア

マルウェア, 高度な持続的脅威 (APT), バックドア
PDFSIDERは、標的システムに侵入し、攻撃者に永続的なリモートアクセスを許可するように設計された悪意のあるバックドアです。アクティブになると、正規のファイルを装い、DLLサイドローディングと呼ばれる手法を用いてセキュリティ制御を回避します。侵入に成功すると、マルウェアは即座にシステム情報を収集し、リモートコマンド実行を可能にします。脅威アクターに高度な制御を提供するため、検出が確認された...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
40,807
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
31,602
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
30,467
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
読み込んでいます...