Nep-datingapp is lokmiddel in campagne gericht op Pakistan, ontdekt ESET Research
ESET Research heeft een Android-spyware-campagne ontdekt die oplichtingstactieken rond dating gebruikt en doelt op mensen in Pakistan. De campagne gebruikt een kwaadaardige app die zich voordoet als een chatplatform waarmee gebruikers via WhatsApp gesprekken kunnen starten. Onder de romantische façade is het werkelijke doel van de app, door ESET GhostChat genoemd, het stelen van gegevens. Dezelfde dader lijkt een grotere spionageoperatie te leiden, waaronder een ClickFix-aanval die leidde tot het compromitteren van computers van slachtoffers en een WhatsApp-apparaat-koppelingsaanval die toegang verkreeg tot WhatsApp-accounts, zodat het meekijken mogelijk werd. Deze aanvallen gebruikten websites die zich als Pakistaanse overheidsorganisaties voordeden. Slachtoffers verkregen GhostChat via onbekende bronnen en de app werd handmatig geïnstalleerd; de app was nooit beschikbaar in de Google Play Store en Google Play Protect, standaard ingeschakeld, beschermt ertegen.
“Deze campagne werkt met een misleidende methode die we nog niet bij vergelijkbare oplichtingspraktijken zagen: nep-vrouwenprofielen in GhostChat worden vergrendeld aan potentiële slachtoffers gepresenteerd, met toegangscodes die nodig zijn om ze te openen. Omdat de codes in de app zijn vastgelegd, is dit een social engineering-tactiek die wellicht bedoeld is om de indruk te wekken dat potentiële slachtoffers exclusieve toegang hebben”, aldus Lukáš Štefanko, de ESET-onderzoeker die de campagne ontdekte. Hij vervolgt: “Ons onderzoek laat een zeer gerichte en veelzijdige spionagecampagne zien, gericht op gebruikers in Pakistan”.
De app gebruikt het icoon van een legitieme datingapp, maar zonder zijn functionaliteiten en dient dus als lokmiddel voor spionage op mobiele toestellen. Eens ingelogd, krijgen slachtoffers 14 vrouwelijke profielen te zien. Elk profiel is gekoppeld aan een specifiek WhatsApp-nummer met een Pakistaanse landcode (+92). Het gebruik van lokale nummers versterkt de illusie dat de profielen echte personen uit Pakistan zijn, wat de geloofwaardigheid van de oplichting vergroot. Na het invoeren van de juiste code wordt de gebruiker doorgestuurd naar WhatsApp om een gesprek te starten met het toegewezen nummer – dat wellicht door de oplichter beheerd wordt.
Als het slachtoffer de app gebruikt, en zelfs nog voor hij is ingelogd, is de GhostChat-spyware al op de achtergrond actief. Deze monitort stilletjes de activiteit op het toestel en stuurt gevoelige gegevens naar een C&C-server. Naast de initiële data-exfiltratie is GhostChat ook bezig met actieve spionage: het installeert een content-observator om nieuw gemaakte afbeeldingen te monitoren en uploadt deze zodra ze verschijnen. Het plant ook een periodieke taak in, die elke vijf minuten scant op nieuwe documenten, zodat een continue bewaking en dataverzameling mogelijk is.
De campagne is ook verbonden met een bredere infrastructuur die op ClickFix-gebaseerde malware-verspreiding en technieken gebruikt voor het kapen van WhatsApp-accounts. Deze acties gebruiken nepwebsites, doen zich voor als overheidsinstanties en misleidende, op QR-codes gebaseerde, toestelkoppelingen om zowel desktop- als mobiele platforms te compromitteren. ClickFix is een social engineering-techniek die gebruikers verleidt om handmatig kwaadaardige code op hun toestellen uit te voeren door schijnbaar legitieme instructies te volgen.
Naast de aanvallen op desktops via ClickFix, werd ook een kwaadaardig domein gebruikt in een mobiele operatie gericht op WhatsApp-gebruikers. Slachtoffers werden verleid om lid te worden van een zogenaamde community, die zich als een kanaal van het Pakistaanse Ministerie van Defensie voordeed, door een QR-code te scannen waarmee hun Android-toestel of iPhone gekoppeld kon worden aan WhatsApp Web of Desktop. Deze techniek, gekend als GhostPairing, stelt een aanvaller in staat om toegang te krijgen tot de chatgeschiedenis en contacten van de slachtoffers, zodat ze dezelfde zichtbaarheid en controle over het account krijgen als de eigenaars om zo hun privécommunicatie in gevaar te brengen.
Voor een meer gedetailleerde analyse van GhostChat, raadpleeg de nieuwste blog van ESET Research “Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan” op www.welivesecurity.com. Volg ook ESET Research op Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste info.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
