• ESET Research a découvert une campagne de logiciels espions Android utilisant des techniques d'escroquerie sentimentale pour cibler des individus au Pakistan.
• Cette campagne exploite le logiciel espion GhostChat, permettant une surveillance discrète de l'appareil, autorisant ainsi les auteurs à surveiller l'activité et à exfiltrer des données sensibles.
• L'enquête d'ESET a révélé d'autres activités du même auteur : une attaque avec ClickFix, qui incite les utilisateurs à exécuter du code malveillant sur leur ordinateur, et une attaque WhatsApp exploitant la fonctionnalité de connexion à l'appareil de l'appli pour accéder aux messages personnels des victimes.

ESET Research a découvert une campagne de logiciels espions Android utilisant l'escroquerie sentimentale pour cibler des individus au Pakistan. Cette campagne utilise une appli malveillante qui se fait passer pour une plateforme de messagerie permettant d'initier des conversations via WhatsApp. Cette façade sentimentale cache le vrai but de l’appli, baptisé GhostChat par ESET, qui est l'exfiltration des données des victimes. Le même acteur semble mener une opération d'espionnage plus vaste, avec une attaque ClickFix compromettant les ordinateurs des victimes et une attaque de liaison d'appareils WhatsApp permettant d'accéder à leurs comptes WhatsApp, ce qui étend le champ de la surveillance. Ces attaques utilisent des sites usurpant l'identité d'organisations gouvernementales pakistanaises. Les victimes se procurent GhostChat auprès de sources inconnues ; son installation est manuelle, l'appli n'a jamais été disponible sur Google Play. Google Play Protect, activé par défaut, la protège.

«Cette campagne utilise une tromperie inédite : de faux profils féminins sur GhostChat sont présentés aux victimes potentielles comme étant verrouillés et nécessitant un code pour y accéder. Ces codes étant intégrés au code de l’appli, il s’agit d’une simple technique d’ingénierie sociale visant à créer l’illusion d’un accès exclusif », explique Lukáš Štefanko, le chercheur d’ESET qui a découvert la campagne. Et il ajoute :« Notre enquête démontre une campagne d’espionnage bien ciblée et multiforme, visant des utilisateurs au Pakistan ».

L'appli utilise l'icône d'une appli de rencontre légitime, mais n'en possède pas les fonctionnalités. Elle sert d'appât et d'outil d'espionnage sur appareils mobiles. Une fois connectées, les victimes se voient proposer une sélection de 14 profils féminins ; chaque profil est lié à un numéro WhatsApp spécifique avec +92, l'indicatif pakistanais. L'utilisation de numéros locaux renforce l'illusion que les profils correspondent à de vraies personnes résidant au Pakistan, pour plus de crédibilité. Après avoir saisi le code correct, l'appli redirige l'utilisateur vers WhatsApp pour entamer une conversation avec le numéro attribué géré par l'escroc.

Alors que la victime utilise l'appli, et même avant sa connexion, le logiciel GhostChat s'exécute déjà en arrière-plan, surveillant discrètement l'activité de l'appareil et exfiltrant des données sensibles vers un serveur de commande et de contrôle. En plus de cette exfiltration, GhostChat se livre à un espionnage actif : il configure un observateur de contenu pour surveiller les nouvelles images créées et les télécharger dès leur apparition. Il programme aussi une tâche qui, toutes les cinq minutes, analyse l'appareil à la recherche de nouveaux documents et assure donc une surveillance et une collecte de données en continu.

Cette campagne est aussi liée à une infrastructure plus vaste impliquant la diffusion de maliciels via ClickFix et le piratage de comptes WhatsApp. Ces opérations exploitent de faux sites web, l'usurpation d'identité d'autorités nationales et des techniques trompeuses de connexion d'appareils par code QR pour compromettre tant les plateformes de bureau que mobiles. ClickFix est une technique d'ingénierie sociale incitant les utilisateurs à exécuter manuellement un code malveillant sur leurs appareils en suivant des instructions d’apparence légitimes.

En plus du ciblage des ordinateurs par l'attaque ClickFix, un domaine malveillant a été utilisé dans une opération mobile visant les utilisateurs de WhatsApp. Les victimes étaient incitées à rejoindre une fausse communauté, qui se faisait passer pour un canal du ministère de la Défense pakistanais, en scannant un code QR pour connecter leur appareil, Android ou iPhone, à WhatsApp Web ou à Desktop. Connue sous le nom de GhostPairing, cette technique permet d'accéder à l'historique des conversations et aux contacts des victimes, fournissant le même niveau de visibilité et de contrôle sur le compte que les propriétaires et compromettant leurs communications privées.

Pour une analyse plus détaillée de GhostChat, consultez le dernier blog d’ESET Research  “Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan”  sur www.wlivesecurity.com . Suivez également ESET Research sur Twitter (today known as X), BlueSky, et Mastodon  pour les toutes dernières nouvelles.