Pesquisadores da ESET, uma empresa renomada de cibersegurança, lançaram um alerta para uma campanha de spyware que ameaça usuários do sistema operacional Android. Esta campanha se passa por um aplicativo de relacionamento, mas seu objetivo real é roubar informações pessoais dos usuários, com um foco especial nos residentes do Paquistão. O aplicativo malicioso, chamado GhostChat, aproveita perfis falsos gerenciados por meio do WhatsApp para atrair potenciais vítimas.
A operação do GhostChat é sofisticada e usa táticas de engenharia social para aumentar seu poder de persuasão. A estratégia envolve a apresentação de perfis de mulheres para as vítimas, que são imediatamente bloqueados e necessitam de um código de liberação. Estes códigos são habilmente manipulados pelos golpistas para criar uma sensação de exclusividade, atraindo a vítima para a armadilha.
Apesar dos esforços contínuos dos pesquisadores, os métodos exatos de distribuição do GhostChat ainda permanecem um mistério. No entanto, foi identificada uma operação maior de spyware, que inclui ataques chamados ClickFix. Esses ataques miram especificamente a invasão de contas do WhatsApp das vítimas, utilizando sites que imitam órgãos oficiais do governo paquistanês e números de telefone locais para enganar os usuários.
O GhostChat é distribuído de forma clandestina, sem passar pelos meios convencionais, como a Google Play Store. Para baixar o aplicativo, o usuário precisa permitir a instalação a partir de fontes desconhecidas em seu dispositivo. O malware se mascara como uma “plataforma de chat de relacionamento sem pagamento”, imitando um aplicativo legítimo chamado Dating Apps without payment disponível na Play Store.
Após ser instalado, o aplicativo permite que a vítima selecione entre 14 perfis femininos pré-fabricados, cada um com uma foto, nome e idade. Quando a vítima tenta interagir, é direcionada a uma conversa no WhatsApp com um número de telefone paquistanês, também incluído no aplicativo. Enquanto a vítima conversa, o GhostChat opera em segundo plano, furtando documentos sensíveis do dispositivo, incluindo arquivos Word, Excel, PowerPoint e imagens pessoais. Além disso, o malware coleta contatos e a identificação do dispositivo.
Para aumentar a eficácia, o malware contém um arquivo DLL que implementa uma parte adicional da campanha de espionagem via ClickFix. Esta estratégia envolve convencer o usuário a interagir para “corrigir” falhas que, em realidade, foram criadas pelos próprios golpistas. Eles simulam ser do PKCERT, um grupo legítimo de resposta a emergências computacionais no Paquistão, para aumentar a credibilidade do engano.
A técnica denominada GhostPairing explora os contatos e informações indevidamente coletadas para acessar e comprometer tanto computadores quanto dispositivos móveis, usurpando mais dados sensíveis. Os ataques contemporâneos combinam QR Codes, falsificação de identidades governamentais e engenharia social para maximizar o sucesso, obrigando os usuários a serem ainda mais vigilantes.
