Une campagne de cyberespionnage d'une grande sophistication prend pour cible les utilisateurs de smartphones Android, principalement au Pakistan. Orchestrée par un groupe de pirates informatiques, l'opération s'appuie sur une application malveillante du nom de GhostChat. Celle-ci se fait passer pour une plateforme de rencontres afin de dérober massivement les données personnelles des victimes en utilisant une technique particulièrement rusée.

Comment fonctionne le piège de la fausse application de rencontre ?

L'application frauduleuse, distribuée sous forme de fichier APK en dehors du Play Store officiel, usurpe l'icône d'une véritable application de rencontres, « Dating Apps without payment », pour paraître légitime. Une fois installée, elle présente 14 faux profils féminins, tous affichés comme « verrouillés ». C'est une technique d'ingénierie sociale classique pour piquer la curiosité de la victime et l'inciter à débloquer l'accès aux conversations.

Pour discuter, l'utilisateur doit entrer un code d'accès qui lui est fourni directement dans l'application, créant une illusion d'exclusivité. Une fois le code saisi, la victime est redirigée vers une conversation WhatsApp avec un numéro local, renforçant la crédibilité du profil. Pendant ce temps, en arrière-plan, un dangereux malware s'est déjà activé pour piller le téléphone.

Quelles données sont précisément volées par GhostChat ?

Dès le premier lancement, avant même que l'utilisateur n'entame la discussion, GhostChat déclenche une exfiltration massive de données. L'identifiant de l'appareil et la liste complète des contacts sont les premières informations envoyées vers un serveur contrôlé par les pirates. Ensuite, le logiciel espion scanne et dérobe tous les fichiers stockés localement : images, PDF, documents Word, Excel et autres formats courants. Cette arnaque est conçue pour être aussi discrète qu'efficace.

Le pillage ne s'arrête pas là. Le virus installe un système de surveillance permanent. Un observateur de contenu détecte et envoie automatiquement chaque nouvelle image ajoutée à la galerie du téléphone, tandis qu'une tâche planifiée recherche les nouveaux documents toutes les cinq minutes. La conversation sur WhatsApp sert de diversion : elle maintient la victime engagée, garantissant que l'application malveillante reste installée le plus longtemps possible.

Cette menace se limite-t-elle aux smartphones ?

Les recherches menées par ESET ont révélé que GhostChat n'est qu'une facette d'une campagne d'espionnage bien plus vaste. Les mêmes attaquants déploient des opérations sur les ordinateurs Windows via la technique « ClickFix ». Ils utilisent de faux sites gouvernementaux pakistanais qui affichent des alertes de sécurité factices. Les victimes sont alors incitées à exécuter elles-mêmes des lignes de code dans l'invite de commande, installant ainsi un logiciel malveillant sur leur machine.

Un autre volet de l'attaque, nommé « GhostPairing », vise à détourner des comptes WhatsApp. Via un portail imitant le ministère pakistanais de la Défense, les pirates invitent les cibles à rejoindre une communauté en scannant un QR code. Ce code déclenche en réalité la fonction « Appareils liés » de WhatsApp, donnant aux attaquants un accès complet à l'historique des messages et aux futurs échanges. La meilleure protection reste la prudence : ne jamais installer d'APK de sources inconnues et vérifier régulièrement les appareils connectés à ses comptes.