一场虚假的浪漫关系最终演变成一次Android间谍软件感染

admin
admin
admin
0
文章
0
评论
2026-01-30 18:12:17 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: ESET揭露针对巴基斯坦的安卓间谍软件GhostChat,利用情感诈骗伪装聊天应用窃取敏感数据。该行动结合ClickFix攻击与WhatsApp关联入侵,通过假冒政府网站和本地号码实施高度欺骗。恶意软件具备后台持续监控能力,建议用户避免安装非官方来源应用以防范此类跨平台监控风险。 综合评分: 75 文章分类: 恶意软件,移动安全,威胁情报,社会工程学

cover_image

一场虚假的浪漫关系最终演变成一次Android间谍软件感染

原创

Anamarija Anamarija

信息安全D1net

2026年1月29日 16:53 北京

点击上方“蓝色字体”,选择 “设为星标

关键讯息,D1时间送达!

企业网D1net

研究发现,一起针对巴基斯坦个人的安卓间谍软件行动,将情感诈骗与移动监控深度结合。恶意应用GhostChat伪装成聊天服务,引导受害者通过WhatsApp交流,同时在后台持续窃取图像、文档等敏感数据。该行动还与ClickFix桌面攻击及WhatsApp设备关联入侵相关联,可直接获取聊天记录与联系人。攻击者通过仿冒政府机构网站、使用本地号码和“解锁式”社交诱饵,显著提升欺骗成功率,展现出高度成熟的社交攻击与跨平台监控能力。

ESET研究人员发现一起针对巴基斯坦个人的安卓间谍软件活动,该活动采用情感诈骗手段实施攻击。此次行动依赖一款伪装成聊天服务的恶意应用,通过WhatsApp进行对话传输。在情感诱饵背后,该应用的主要功能是窃取受感染设备中的数据,ESET将此恶意软件追踪命名为GhostChat。

同一威胁行为者似乎正在开展更广泛的监控行动,这包括一项会入侵受害者计算机的ClickFix攻击,以及一项可获取受害者WhatsApp账户访问权限的WhatsApp设备关联攻击。

这些相关活动均以仿冒巴基斯坦政府组织的网站为诱饵,受害者从非官方渠道下载GhostChat并手动安装,该应用从未在Google Play上架,且默认启用的Google Play Protect会将其拦截。

ESET研究员Lukáš Štefanko表示:“此次活动采用了一种我们在类似骗局中从未见过的欺骗手段——GhostChat中的虚假女性用户资料会以锁定状态呈现给潜在受害者,访问这些资料需要输入密码,然而,由于这些密码是硬编码在应用中的,因此这不过是一种社会工程学策略,旨在让潜在受害者产生获得独家访问权限的错觉。”

该应用使用合法约会服务的图标,但并不提供相同功能,相反,它在移动设备上充当诱饵和监控工具,登录后,受害者会看到14个女性用户资料列表,每个资料都与一个带有巴基斯坦国家区号的特定WhatsApp号码相关联。使用本地号码有助于让这些资料看起来属于巴基斯坦境内的人,从而增加了骗局的可信度。当用户输入所需密码后,该应用会将他们重定向至WhatsApp,与分配的号码开始聊天,该号码很可能由威胁行为者控制。

当受害者与该应用交互时,甚至在登录之前,GhostChat间谍软件就在后台运行,它会监控设备活动,并将敏感数据发送至命令与控制服务器。GhostChat还支持持续监控,它会设置一个内容观察器来跟踪新创建的图像,并在图像出现时立即上传,此外,它还会运行一项定时任务,每五分钟检查一次新文档,从而实现持续的数据收集。

此次活动与一个更广泛的基础设施相关联,该基础设施包括基于ClickFix的恶意软件投递和WhatsApp账户入侵,这些行动依赖虚假网站、冒充政府机构以及基于二维码的设备关联方案,以同时针对桌面和移动用户。ClickFix是一种社会工程学手段,通过看似合法的指令诱使受害者手动运行恶意代码。

除了使用ClickFix进行桌面攻击外,同一基础设施还支持一项针对WhatsApp用户的移动端行动。受害者被鼓励加入一个据称与巴基斯坦国防部相关的所谓社区频道,他们被提示扫描二维码,将安卓设备或iPhone与WhatsApp Web或桌面版关联,这种方法被称为GhostPairing,可使攻击者访问聊天记录和联系人,它赋予攻击者与合法用户相同的账户可见性和控制权,从而暴露私人通信。

版权声明:本文为企业网D1net编译,转载需在文章开头注明出处为:企业网D1net,如果不注明出处,企业网D1net将保留追究其法律责任的权利。封面图片来源于摄图网

(来源:企业网D1net)

关于企业网D1net(www.d1net.com)

国内头部to B IT门户,同时在运营国内头部的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)

如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1net投稿。

投稿邮箱:

[email protected]

合作电话:

010-58221588(北京公司)

021-51701588(上海公司)

合作邮箱:

[email protected]

企业网D1net旗下信众智是CIO(首席信息官)的专家库和智力输出及资源分享平台,有六万多CIO专家,也是目前较大的CIO社交平台。

信众智对接CIO为CIO服务,提供数字化升级转型方面的咨询、培训、需求对接等落地实战的服务。也是国内较早的toB共享经济平台。同时提供猎头,选型点评,IT部门业绩宣传等服务。

扫描 “二维码” 可以查看更多详情

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:信息安全D1net Anamarija Anamarija《一场虚假的浪漫关系最终演变成一次Android间谍软件感染》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0