Pesquisadores da ESET identificaram uma nova campanha de espionagem digital voltada para Android que utiliza um aplicativo malicioso disfarçado de plataforma de bate-papo romântico. A operação combina engenharia social, malware móvel, ataques a computadores e até sequestro de contas do WhatsApp, formando um ecossistema de golpes bem coordenado.
O ponto de partida é um aplicativo chamado GhostChat, distribuído fora da Google Play Store. Para instalá-lo, a vítima precisa ativar a opção de instalação por “fontes desconhecidas”, o que já contorna as proteções padrão do Android.
Um falso app de namoro com aparência legítima
O GhostChat se apresenta como um aplicativo de relacionamento e usa, inclusive, o ícone de um app legítimo chamado “Dating Apps sem pagamento”, sem qualquer vínculo com o serviço original. Após a instalação, o app solicita diversas permissões sensíveis e exibe uma tela de login.
Essa etapa é parte do golpe: as credenciais não são verificadas em nenhum servidor externo. Usuário e senha estão embutidos no código do aplicativo, o que significa que quem distribui o app também fornece os dados de acesso, criando uma falsa sensação de autenticidade.
Perfis bloqueados e sensação de acesso exclusivo
Depois do login, a vítima vê uma lista com 14 perfis femininos, todos marcados como “bloqueados”. Ao tentar acessar qualquer um deles, o aplicativo exige um código de desbloqueio. Esses códigos, novamente, não são validados online e também fazem parte do código interno do app.
A lógica é simples e eficaz: quem indica o aplicativo também fornece os códigos, criando a ilusão de acesso restrito e exclusivo. Psicologicamente, isso aumenta o engajamento e reduz a desconfiança da vítima.
Cada perfil está vinculado a um número real de WhatsApp com código do Paquistão (+92). Ao inserir o código correto, o GhostChat apenas abre uma conversa no WhatsApp com esse número. Do outro lado, provavelmente está o próprio golpista ou alguém mantendo a farsa ativa.
O spyware age em silêncio desde o início
Enquanto a vítima acredita estar usando um app de namoro, o spyware já está em operação. Desde a primeira execução, o GhostChat coleta informações do dispositivo, exporta toda a lista de contatos e procura arquivos específicos, como imagens, PDFs e documentos do Office. Esses dados são enviados para um servidor controlado pelos atacantes.
O monitoramento não para por aí. O malware permanece ativo em segundo plano, observando continuamente o sistema. Sempre que novas fotos ou imagens são criadas ou recebidas, elas são automaticamente enviadas ao servidor. A cada cinco minutos, o app verifica se surgiram novos documentos no aparelho.
Infraestrutura também usada em ataques a computadores
A investigação revelou que o mesmo servidor utilizado pelo GhostChat também aparece em campanhas voltadas para computadores, indicando uma operação com potencial de escala maior.
Uma dessas campanhas usa a técnica conhecida como ClickFix, que engana a vítima para que ela mesma execute códigos maliciosos. Os criminosos criaram um site falso que imitava o PKCERT, o time oficial de resposta a incidentes cibernéticos do Paquistão. O site exibia um alerta fraudulento sobre supostos riscos a infraestruturas nacionais e instruía o usuário a baixar um arquivo DLL malicioso.
Esse arquivo funciona como um backdoor. Ao ser executado, ele envia informações básicas do computador para o servidor e passa a consultar, a cada cinco minutos, se há novos comandos. Quando recebe instruções, executa comandos PowerShell codificados em Base64 de forma invisível, garantindo controle remoto total da máquina.
Sequestro de contas do WhatsApp completa o golpe
A terceira frente da operação envolve o sequestro de contas do WhatsApp, em uma técnica chamada pelos pesquisadores de GhostPairing. Nesse caso, os criminosos criaram um site falso que se passava por um canal oficial do Ministério da Defesa do Paquistão.
O site exibia um QR Code convidando o usuário a entrar em uma suposta comunidade. Ao escanear o código, a vítima vinculava sua conta do WhatsApp ao dispositivo dos atacantes, da mesma forma que ocorre no WhatsApp Web. Com isso, os criminosos passam a ter acesso total às conversas, contatos e atividades em tempo real.
Uma operação coordenada e difícil de mapear
O que torna essa campanha especialmente preocupante é o nível de coordenação. Não se trata de um golpe isolado, mas de uma operação multiplataforma que combina aplicativos falsos, malware para Android e Windows, sites fraudulentos e sequestro de contas.
Tudo indica que o foco principal são usuários no Paquistão, com iscas adaptadas ao contexto local. A ESET informou que compartilhou as descobertas com o Google, e o Google Play Protect já está bloqueando versões conhecidas do spyware.
Ainda assim, como a distribuição inicial do GhostChat não é totalmente conhecida, não é possível estimar com precisão o alcance da campanha ou o número de vítimas afetadas.
