Os investigadores da ESET descobriram uma campanha de spyware para Android que recorre a táticas de fraudes românticas. A campanha utiliza uma app maliciosa que se faz passar por uma plataforma de chat que permite aos utilizadores iniciar conversas através do WhatsApp.
Porém, por trás da farsa romântica, o verdadeiro objetivo da app, a que a ESET chamou GhostChat, é roubar os dados das vítimas.
GhostChat é a mais recente ameaça para Android
Em primeiro lugar, os cibercriminosos responsáveis por esta campanha parecem estar também a realizar uma operação de ciberespionagem. Aliás, incluindo um ataque ClickFix que leva ao comprometimento dos computadores das vítimas e um ataque de ligação de dispositivos WhatsApp que obtém acesso às contas das vítimas.
Com efeito, as vítimas descarregaram o GhostChat de fontes externas, uma vez que requer instalação manual. Isto porque não está disponível no Google Play e o Google Play Protect bloqueia a app.
Porém, esta campanha utiliza um método que ainda não tinha sido visto em esquemas semelhantes. Mais concretamente, perfis femininos falsos no GhostChat são apresentados às potenciais vítimas como bloqueados. Isto com senhas necessárias para obter acesso.
No entanto, como os códigos estão predefinidos na app, esta é apenas uma tática de engenharia social. Em si destinada a criar a impressão de acesso exclusivo para as potenciais vítimas. desse modo, a investigação da ESET revela uma campanha de ciberespionagem altamente direcionada e multifacetada.
Alerta dado pela agência de segurança ESET
O GhostChat copia o ícone de uma app de encontros legítima. Porém, não tem as mesmas funcionalidades. Aliás, em vez disso, serve como isca e ferramenta para ciberespionagem em dispositivos móveis.
Depois de fazerem login, as vítimas veem uma seleção de 14 perfis femininos. Ora, cada perfil está ligado a um número específico do WhatsApp. Em seguida, ao inserir o código correto, a app redireciona o utilizador para o WhatsApp para iniciar uma conversa com o número atribuído. Porém, o que na verdade está a ser controlado por um cibercriminoso.
Enquanto a vítima interage com a app, e mesmo antes de iniciar sessão, o GhostChat já começou a ser executado em segundo plano, monitorizando silenciosamente a atividade do dispositivo e desviando dados confidenciais para um servidor malicioso. O GhostChat configura também um observador de conteúdo para monitorizar imagens recém-criadas e carrega-as à medida que aparecem. Para além disso, agenda uma tarefa periódica que verifica novos documentos a cada cinco minutos, garantindo vigilância e recolha de dados contínuas.
Malware baseado no ClickFix
A campanha está ligada a uma rede de operações mais ampla que envolve malware baseado no ClickFix e roubo de contas WhatsApp. Estas operações utilizam websites falsos, falsificação de identidade e códigos QR enganosos para comprometer plataformas desktop e móveis. O ClickFix é uma técnica de engenharia social que induz os utilizadores a executar manualmente códigos maliciosos nos seus dispositivos, seguindo instruções aparentemente legítimas.
Por fim, o GhostChat parece focar-se no Paquistão, mas a ESET recomenda que utilizadores de todo o mundo estejam atentos a esquema semelhantes. Isto especialmente nesta semana de São Valentim.
Fica mais conectado: