GhostChat: Pakistan'da Hedefli Romantik Dolandırıcılık ve WhatsApp Hesap Ele Geçirme Kampanyası

Güvenlik araştırmacıları, Pakistan’da bireyleri hedef alan sofistike bir casus yazılım kampanyası keşfetti. Bu kampanya, sohbet sunan gibi görünen zararlı bir mobil uygulama aracılığıyla kullanıcı verilerini ele geçirmeyi amaçlıyor.

GhostChat adıyla bilinen bu kötü amaçlı yazılım, WhatsApp üzerinden sohbet başlatma görüntüsünü kullanıyor ve kurbanların kişisel bilgilerinin kötüye kullanılması için tasarlanmış. Aynı aktörün ClickFix tabanlı dağıtım yöntemiyle masaüstü hedeflere yönelik saldırılar yürüttüğü ve WhatsApp hesaplarına erişim sağlamaya çalıştığı düşünülüyor. Bu geniş ağ, Pakistan hükümetine ait kurumları taklit eden sahte web sitelerini yem olarak kullanarak gözetimi genişletmeyi hedefliyor.

Kullanıcılar GhostChat’i güvenilmeyen kaynaklardan indirip manuel olarak kurarken, uygulama Google Play’de mevcut değil ve varsayılan olarak etkinleştirilmiş Play Protect bile bu tehditten korunmaları sağlayamıyor. ESET araştırmacısı Lukáš Štefanko, bu kampanyanın daha önce gördüklerinden farklı bir aldatma yaklaşımı sergilediğini belirtiyor: Uygulamadaki sahte kadın profilleri kilitli bir şekilde sunuluyor ve erişim için şifrelerin sabirli olarak kodlandığı belirtiliyor, bu da kullanıcıları sosyal mühendislik yoluyla kandırmayı amaçlıyor.

Gözlemciler, kampanyanın Pakistan’daki kullanıcılara yönelik son derece hedefli ve çok yönlü bir casusluk operasyonunu ortaya koyduğunu ifade ediyor. GhostChat, meşru bir arkadaşlık uygulamasının ikonunu taklit etse de fonksiyonel olarak vasıfsız ve sadece casusluk amacıyla tasarlanmış bir yem görevi görüyor. Kurbanlar uygulamayı çalıştırdıktan sonra, 14 kadın profili ile karşılaşıyor ve her profil Pakistan (+92) kodlu belirli bir WhatsApp numarasına bağlı oluyor. Yerel numaraların kullanılması, sahnelenen kurguya güvenilirlik katıyor ve kurbanları kandırmayı kolaylaştırıyor.

Doğru kimlik doğrulama kodu girildiğinde kullanıcı WhatsApp’a yönlendirilip atanan numarayla bir sohbet başlatıyor; bu numara muhtemelen saldırganlar tarafından işletiliyor. GhostChat, arka planda etkinleşip cihaz aktivitelerini izlemeye başlıyor, hassas verileri merkezi bir komuta ve kontrol (C&C) sunucusuna aktarıyor ve dolaylı olarak görüntüleri ve belgeleri periyodik olarak toplayıp yükleyerek sürekli gözetim sağlıyor.

Bu operasyonla bağlantılı olarak ClickFix altyapısı, sahte web siteleri ve kimlik taklitleriyle masaüstü ve mobil hedefleri kapsıyor. Android veya iPhone kullanıcılarını, WhatsApp Web veya Desktop’a bağlanmak üzere QR kodu taramaya yönlendiren bir topluluk görünümleriyle sahte bir kanala çekiyor. GhostPairing olarak adlandırılan bu teknik, saldırganların sohbet geçmişine ve kişisel verilerine erişim elde etmesini mümkün kılıyor ve kurban sahipleriyle aynı düzeyde görünürlük sağlayarak iletişimin güvenirliğini artırıyor.

Kaynak olarak Beyaz Haber Ajansı (BYZHA) belirtiliyor ve rapor, bu tür kampanyaların toplu değildir; hedefli ve ciddi bir tehdit olarak değerlendiriliyor.