Investigadores da ESET identificaram uma campanha de spyware, denominada GhostChat, que utiliza iscos românticos para comprometer dispositivos Android. A ameaça, distribuída fora da loja oficial Google Play, visa a exfiltração contínua de dados e o sequestro de contas WhatsApp. Segundo o relatório técnico, a operação recorre a táticas de engenharia social para induzir as vítimas a instalarem o ficheiro malicioso manualmente.
GhostChat: o isco do acesso exclusivo via engenharia social
O GhostChat apresenta perfis femininos falsos que parecem bloqueados, exigindo uma palavra-passe predefinida na aplicação para simular exclusividade. Ao introduzir o código, o utilizador é redirecionado para uma conversa de WhatsApp controlada por cibercriminosos. Este método serve como fachada para uma operação de ciberespionagem muito mais profunda e automatizada a decorrer em segundo plano.
A aplicação copia o ícone de uma plataforma de encontros legítima para evitar suspeitas imediatas. No entanto, a ausência de funcionalidades reais de chat revela a natureza fraudulenta do software. A ESET indica que o Google Play Protect bloqueia ativamente a instalação, o que obriga os atacantes a procurar vítimas dispostas a desativar as proteções de segurança do sistema.
Monitorização persistente e exfiltração de ficheiros
Segundo a ESET, o spyware inicia a recolha de informação sensível logo após a instalação, mesmo antes de qualquer início de sessão. Um “observador de conteúdo” monitoriza a criação de novas imagens e agenda tarefas periódicas para verificar documentos a cada cinco minutos. Estes dados são enviados para um servidor de comando e controlo (C&C) sem que o utilizador detete atividade anómala.
| Vetor de Ameaça | Detalhe Técnico |
| Método de Distribuição | Sideloading (instalação manual externa) |
| Alvo Principal | Dados sensíveis Android e credenciais WhatsApp |
| Mecânica de Vigilância | Verificação de ficheiros a cada 5 minutos |
| Técnica de Escalada | ClickFix (focalizado em sistemas desktop) |
A infraestrutura maliciosa está ligada a uma rede mais ampla que utiliza o método ClickFix. Esta técnica induz os utilizadores a executarem scripts maliciosos nos seus computadores, expandindo o alcance da infeção do dispositivo móvel para o ambiente desktop. O objetivo final parece ser o roubo de contas e a vigilância persistente de comunicações privadas.
Implicações para a segurança do utilizador
Embora a campanha tenha maior incidência no Paquistão, o uso de esquemas sazonais, como o São Valentim, torna-a uma ameaça global. A transição de um simples esquema de romance para um ataque híbrido (mobile e desktop) demonstra a crescente sofisticação destes grupos criminosos. A resiliência digital depende agora da recusa rigorosa de instalações externas e da monitorização de permissões de acessibilidade.
Mais informações sobre a ESET no site oficial.
Outros artigos interessantes:
