Les chercheurs d’ESET ont mis au jour une campagne de logiciels espions visant des utilisateurs Android au Pakistan, s’appuyant sur des techniques d’arnaque sentimentale. Cette opération repose sur une application malveillante se présentant comme une plateforme de discussion permettant d’engager des conversations via WhatsApp. Sous couvert de cette interface de rencontre, l’application malveillante, baptisée GhostChat par ESET, exécute en réalité des opérations d’exfiltration de données. Le même acteur semble également mener une opération d’espionnage plus vaste, incluant une attaque de type ClickFix ayant compromis les ordinateurs des victimes, ainsi qu’une attaque de liaison d’appareils WhatsApp permettant d’accéder à leurs comptes. Ces attaques associées utilisaient des sites web imitant des organisations gouvernementales pakistanaises comme appâts. GhostChat a été diffusée via des sources non identifiées et nécessite une installation manuelle : elle n’a jamais été proposée sur Google Play. Par ailleurs, Google Play Protect, activé par défaut, offre une protection contre ce type de menace.
« Cette campagne repose sur une méthode de tromperie inédite dans ce type d’écosystème : les faux profils féminins affichés sur GhostChat apparaissent comme verrouillés et nécessitent des codes d’accès pour être consultés. Toutefois, ces codes étant directement intégrés dans l’application, il s’agit avant tout d’une tactique d’ingénierie sociale destinée à créer une illusion d’exclusivité », explique Lukáš Štefanko, chercheur chez ESET à l’origine de la découverte. « Notre enquête met en évidence une campagne d’espionnage hautement ciblée et particulièrement sophistiquée visant les utilisateurs au Pakistan », ajoute-t-il.
L’application reprend l’iconographie d’un service de rencontres légitime, sans toutefois en proposer les fonctionnalités réelles. Elle sert principalement d’appât, et d’outil pour espionner les appareils mobiles. Une fois connectées, les victimes se voient proposer une liste de 14 profils féminins, chacun associé à un numéro WhatsApp pakistanais (+92). L’utilisation de numéros locaux renforce l’illusion de profils authentiques basés au Pakistan, augmentant ainsi la crédibilité de l’arnaque. Après saisie du code adéquat, l’application redirige l’utilisateur vers WhatsApp afin de démarrer une conversation avec le numéro concerné, vraisemblablement contrôlé par l’acteur malveillant.
Pendant l’interaction de la victime avec l’interface de l’application, et même avant la connexion, le logiciel espion GhostChat s’exécute déjà en arrière-plan. Il surveille discrètement l’activité de l’appareil et transmet des données sensibles vers un serveur de commande et de contrôle (C&C). Au-delà de cette exfiltration initiale, GhostChat mène également des activités d’espionnage actif : il met en place un observateur de contenu pour détecter les nouvelles images créées et les téléverser automatiquement. En outre, il programme une tâche récurrente analysant les nouveaux documents toutes les cinq minutes, garantissant une surveillance continue et une collecte régulière de données.
La campagne s’inscrit dans une infrastructure plus large combinant la diffusion de malwares via ClickFix et des techniques de détournement de comptes WhatsApp. Ces opérations s’appuient sur de faux sites web usurpant l’identité d’organisations gouvernementales, ainsi que sur des dispositifs de liaison frauduleuse basés sur des QR codes, permettant de compromettre aussi bien des plateformes mobiles que des ordinateurs. ClickFix constitue une technique d’ingénierie sociale incitant les utilisateurs à exécuter eux-mêmes du code malveillant, sous couvert d’instructions prétendument légitimes.
En complément du ciblage sur ordinateur via ClickFix, un domaine malveillant a également été exploité dans une opération mobile visant directement les utilisateurs de WhatsApp. Les victimes étaient incitées à rejoindre une prétendue communauté, se présentant comme une chaîne du ministère pakistanais de la Défense, en scannant un code QR afin de relier leur smartphone à WhatsApp Web ou Desktop. Cette méthode, connue sous le nom de GhostPairing, permet à un adversaire d’accéder à l’historique des conversations et aux contacts des victimes. L’attaquant obtient ainsi un niveau de visibilité et de contrôle équivalent à celui du propriétaire du compte, compromettant gravement la confidentialité des communications privées.
D’après communiqué
