一场虚假的浪漫关系最终演变成一次Android间谍软件感染

ESET研究人员发现一起针对巴基斯坦个人的安卓间谍软件活动，该活动采用情感诈骗手段实施攻击。此次行动依赖一款伪装成聊天服务的恶意应用，通过WhatsApp进行对话传输。在情感诱饵背后，该应用的主要功能是窃取受感染设备中的数据，ESET将此恶意软件追踪命名为GhostChat。

同一威胁行为者似乎正在开展更广泛的监控行动，这包括一项会入侵受害者计算机的ClickFix攻击，以及一项可获取受害者WhatsApp账户访问权限的WhatsApp设备关联攻击。

这些相关活动均以仿冒巴基斯坦政府组织的网站为诱饵，受害者从非官方渠道下载GhostChat并手动安装，该应用从未在Google Play上架，且默认启用的Google Play Protect会将其拦截。

ESET研究员Lukáš Štefanko表示：“此次活动采用了一种我们在类似骗局中从未见过的欺骗手段——GhostChat中的虚假女性用户资料会以锁定状态呈现给潜在受害者，访问这些资料需要输入密码，然而，由于这些密码是硬编码在应用中的，因此这不过是一种社会工程学策略，旨在让潜在受害者产生获得独家访问权限的错觉。”

该应用使用合法约会服务的图标，但并不提供相同功能，相反，它在移动设备上充当诱饵和监控工具，登录后，受害者会看到14个女性用户资料列表，每个资料都与一个带有巴基斯坦国家区号的特定WhatsApp号码相关联。使用本地号码有助于让这些资料看起来属于巴基斯坦境内的人，从而增加了骗局的可信度。当用户输入所需密码后，该应用会将他们重定向至WhatsApp，与分配的号码开始聊天，该号码很可能由威胁行为者控制。

当受害者与该应用交互时，甚至在登录之前，GhostChat间谍软件就在后台运行，它会监控设备活动，并将敏感数据发送至命令与控制服务器。GhostChat还支持持续监控，它会设置一个内容观察器来跟踪新创建的图像，并在图像出现时立即上传，此外，它还会运行一项定时任务，每五分钟检查一次新文档，从而实现持续的数据收集。

此次活动与一个更广泛的基础设施相关联，该基础设施包括基于ClickFix的恶意软件投递和WhatsApp账户入侵，这些行动依赖虚假网站、冒充政府机构以及基于二维码的设备关联方案，以同时针对桌面和移动用户。ClickFix是一种社会工程学手段，通过看似合法的指令诱使受害者手动运行恶意代码。

除了使用ClickFix进行桌面攻击外，同一基础设施还支持一项针对WhatsApp用户的移动端行动。受害者被鼓励加入一个据称与巴基斯坦国防部相关的所谓社区频道，他们被提示扫描二维码，将安卓设备或iPhone与WhatsApp Web或桌面版关联，这种方法被称为GhostPairing，可使攻击者访问聊天记录和联系人，它赋予攻击者与合法用户相同的账户可见性和控制权，从而暴露私人通信。