文章总结： ESET发现针对巴基斯坦安卓用户的间谍软件GhostChat，利用网恋诈骗诱饵窃取数据。攻击者结合仿冒网站、ClickFix及GhostPairing攻击获取WhatsApp权限。该应用具备后台监控与数据上传功能，未在官方商店上架。建议用户仅从正规渠道下载软件并开启安全防护，警惕非官方链接。 综合评分： 86 文章分类： 恶意软件,移动安全,社会工程学,威胁情报

【安全圈】假意网恋设局，实为安卓间谍软件植入

安全圈

2026年1月30日 19:01 江苏

关键词

间谍软件

ESET 研究人员发现了一起针对巴基斯坦用户的安卓间谍软件攻击活动，该活动以网恋诈骗为诱饵。攻击者通过一款伪装成聊天工具的恶意应用实施攻击，这款应用会将对话流量转接到 WhatsApp，而在浪漫伪装的背后，其核心目的是窃取受感染设备中的数据。ESET 将该恶意软件命名为GhostChat。

该威胁团伙似乎正在开展范围更广的监控行动，包括通过ClickFix 攻击攻陷受害者电脑，以及通过WhatsApp 设备链接攻击获取受害者的 WhatsApp 账户访问权限。

这些关联攻击活动均以仿冒巴基斯坦政府机构的网站为诱饵，受害者需从非官方渠道手动下载并安装 GhostChat。该应用从未在 Google Play 上架，且默认启用的 Google Play Protect 会对其进行拦截。

ESET 研究员卢卡斯・斯特凡科表示：“此次攻击采用了一种我们在同类骗局中前所未见的欺骗手段 ——GhostChat 中的虚假女性资料会显示为‘锁定’状态，需要输入密码才能查看。但实际上，这些密码是硬编码在应用中的，这只是一种社会工程学策略，目的是让潜在受害者产生‘获得专属访问权限’的错觉。”

这款恶意应用盗用了一款正规约会软件的图标，却不具备任何相应功能，仅作为移动设备上的诱捕工具和监控程序。受害者登录后，会看到 14 个女性资料列表，每个资料都关联一个带有巴基斯坦国家代码的 WhatsApp 号码。使用本地号码能让资料看起来更像是巴基斯坦本地人，从而增加骗局的可信度。当用户输入所谓的解锁码后，应用会将其重定向至 WhatsApp，与该号码开始聊天，而这些号码实际上由威胁团伙控制。

在受害者使用该应用的过程中，甚至在登录之前，GhostChat 间谍软件就已在后台运行。它会监控设备活动，并将敏感数据发送至命令与控制（C2）服务器。GhostChat 还支持持续监控：它会设置内容观察者跟踪新生成的图片，并在图片出现时立即上传；同时，它会运行一个定时任务，每五分钟检查一次新文档，以实现对数据的持续收集。

此次攻击活动与一个更庞大的基础设施相关联，该基础设施还支持基于 ClickFix 的恶意软件投放和 WhatsApp 账户攻陷。这些攻击均依赖仿冒网站、冒充政府机构，以及基于二维码的设备链接方案，同时针对桌面端和移动端用户。ClickFix是一种社会工程学攻击手段，它通过看似合法的指示，诱使受害者手动执行恶意代码。

除了利用 ClickFix 的桌面端攻击，该基础设施还支持针对 WhatsApp 用户的移动端专项攻击。受害者被诱导加入一个声称与巴基斯坦国防部相关的虚假社群频道，并被要求扫描二维码，将其安卓或苹果设备链接至 WhatsApp 网页版或桌面端。这种名为GhostPairing的攻击方式，能让攻击者获取受害者的聊天记录和联系人信息，获得与合法用户完全相同的账户可见性和控制权，从而暴露所有私人通信内容。

END

阅读推荐

【安全圈】抖音崩了

【安全圈】恶意 VS Code 扩展”ClawdBot Agent”伪装AI助手传播木马

【安全圈】PyTorch “安全”模式被严重RCE漏洞攻破，可执行任意代码

【安全圈】Chrome 发布安全更新，修复后台 Fetch API 漏洞

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】假意网恋设局，实为安卓间谍软件植入》