GhostChat josus dasturi: WhatsApp orqali Android foydalanuvchilarining maxfiy ma’lumotlari o‘g‘irlanmoqda

Kiberjinoyatchilar tobora murakkablashib borayotgan usullar orqali inson ishonchidan foydalanib, mobil qurilmalarga zararli dasturlarni o‘rnatishga erishmoqda. So‘nggi aniqlangan tahdidlardan biri — GhostChat nomli Android josus dasturi bo‘lib, u romantik tanishuv niqobi ostida foydalanuvchilarning shaxsiy hamda maxfiy ma’lumotlarini o‘g‘irlashni maqsad qiladi.

Ushbu zararli dastur dastlab 2025-yil sentabr oyida Pokistondan VirusTotal platformasiga yuklangan shubhali Android ilovasi orqali aniqlangan. Tahlillar shuni ko‘rsatdiki, GhostChat oddiy tanishuv (dating) ilovasi sifatida niqoblanib, aslida fon rejimida keng ko‘lamli kuzatuv va ma’lumot o‘g‘irlash faoliyatini olib boradi.

Soxta tanishuv ilovasi ortidagi josuslik

GhostChat o‘zini “Dating Apps without payment” nomli bepul tanishuv ilovasi sifatida ko‘rsatadi. Hatto uning belgisi (icon) Google Play’da mavjud bo‘lgan haqiqiy ilovaga o‘xshatilgan. Biroq zararli versiya hech qachon rasmiy do‘konlarda tarqatilmagan.

Foydalanuvchilar ushbu ilovani o‘rnatish uchun:

  • “Unknown sources” (noma’lum manbalar) ruxsatini yoqishlari,
  • ilovani qo‘lda (manual) yuklab o‘rnatishlari

talab qilinadi. Bu usul orqali hujumchilar Google Play Protect himoya mexanizmidan chetlab o‘tishga muvaffaq bo‘lishadi.

Aldov mexanizmi: “qulflangan” soxta profillar

Ilova ishga tushirilgach, foydalanuvchiga 14 ta ayol profili ko‘rsatiladi. Biroq ularning barchasi “Locked” (qulflangan) holatda bo‘ladi va ularga kirish uchun maxsus kod talab qilinadi.

Qiziqarli tomoni shundaki, ushbu kodlar ilovaning ichida oldindan yozilgan (hardcoded) bo‘lib, hujumchilar tomonidan jabrlanuvchiga alohida yuboriladi. Bu esa foydalanuvchida “maxsus kirish huquqi” mavjud degan ishonch uyg‘otadi.

To‘g‘ri kod kiritilgach, foydalanuvchi avtomatik ravishda WhatsApp ilovasiga yo‘naltiriladi va u yerda Pokiston davlat kodi bilan ro‘yxatdan o‘tgan raqamlar bilan suhbat boshlaydi. Jabrlanuvchi bu suhbatni haqiqiy tanishuv deb o‘ylaydi, biroq shu paytda josus dastur o‘z ishini boshlagan bo‘ladi.

Fon rejimidagi kuzatuv va ma’lumot o‘g‘irlash

Foydalanuvchi WhatsApp’da “tanishuv” bilan band bo‘lgan paytda, GhostChat quyidagi ma’lumotlarni yashirin ravishda serverga uzatadi:

  • Qurilma identifikatorlari (IMEI, model, tizim ma’lumotlari)
  • Kontaktlar ro‘yxati
  • Telefon xotirasidagi fayllar:
    • Rasmlar
    • PDF hujjatlar
    • Microsoft Office hujjatlari

Bundan tashqari, dastur har 5 daqiqada qurilmani skanerlash orqali yangi yaratilgan hujjat va rasmlarni aniqlab, ularni ham o‘g‘irlab boradi.

Ilova Android tizimidagi content observer mexanizmidan foydalanib, yangi fayllar paydo bo‘lishini doimiy kuzatadi. Bu esa josuslik jarayonini uzluksiz qiladi.

Tizim qayta yuklansa ham ishlashda davom etadi

GhostChat Android’ning BOOT_COMPLETED funksiyasidan foydalanadi. Ya’ni, telefon o‘chib-yoqilgandan so‘ng ham dastur avtomatik ravishda ishga tushadi.

Shuningdek, u foreground persistence usulini qo‘llaydi. Bu usul orqali:

  • Android’ning batareya optimizatsiyasi dasturini to‘xtata olmaydi,
  • josuslik xizmati doimiy faol bo‘lib qoladi,
  • foydalanuvchi buni sezmaydi.

Ma’lumotlar esa HTTPS orqali boshqaruv serveriga yuboriladi, bu esa tarmoq trafigini oddiy shifrlangan aloqa kabi ko‘rsatib, aniqlanishni qiyinlashtiradi.

Ijtimoiy muhandislik va zararli dastur uyg‘unligi

GhostChat kampaniyasi kiberjinoyatchilar yangi trendga o‘tayotganini ko‘rsatadi:

ijtimoiy muhandislik (romantik tanishuv firibgarligi) + texnik jihatdan mukammal josus dastur.

Foydalanuvchi o‘z ixtiyori bilan zararli ilovani o‘rnatadi, ruxsatlarni beradi va hujumchiga qurilma ustidan to‘liq nazoratni taqdim etadi.

Qanday himoyalanish mumkin?

Bunday tahdidlardan himoyalanish uchun foydalanuvchilar quyidagilarga amal qilishlari zarur:

  1. Noma’lum manbalardan ilova o‘rnatmaslik.
  2. “Unknown sources” ruxsatini o‘chirib qo‘yish.
  3. Ilova so‘rayotgan ruxsatlarni diqqat bilan tekshirish.
  4. Tanishuv ilovalari orqali yuborilgan shubhali havolalarga kirmaslik.
  5. Qurilmada mobil antivirus va Play Protect funksiyasini yoqib qo‘yish.
  6. Shubhali ilova aniqlansa, darhol o‘chirib tashlash va parollarni almashtirish.

GhostChat hodisasi shuni ko‘rsatadiki, bugungi kunda kiberhujumlar nafaqat texnik zaifliklardan, balki inson ishonchidan ham foydalanmoqda. WhatsApp orqali olib borilgan romantik suhbat ortida butun telefoningiz kuzatuv ostida bo‘lishi mumkin.

Mobil qurilma endi shunchaki aloqa vositasi emas — u shaxsiy arxiv, ish hujjatlari, suratlar va maxfiy ma’lumotlar jamlangan markazdir. Shu sababli, har qanday noma’lum ilova sizning butun hayotingizni begona qo‘llarga topshirishi mumkin.