Malware GhostChat para dispositivos móveis
GhostChat é um aplicativo malicioso para Android que se apresenta como uma plataforma de bate-papo ou encontros, enquanto secretamente opera como um spyware. Seu principal objetivo é coletar informações confidenciais de dispositivos infectados. Análises indicam que usuários no Paquistão são os principais alvos. A remoção imediata é fortemente recomendada caso o aplicativo seja detectado em um dispositivo, pois a permanência do mesmo aumenta significativamente o risco de roubo de dados e comprometimento mais amplo da segurança.
Índice
Processos de integração enganosos e autenticação falsa
Após a instalação, o GhostChat solicita agressivamente várias permissões do dispositivo. Uma vez concedidas, os usuários se deparam com uma interface de login que aparenta exigir credenciais válidas. Esse processo é totalmente fraudulento, pois os supostos dados de autenticação estão embutidos no código do aplicativo, em vez de serem verificados por um serviço legítimo. A etapa de login existe unicamente para criar uma ilusão de autenticidade.
Interação manipulativa do usuário e redirecionamento do WhatsApp
Após o login falso, o aplicativo exibe diversos perfis femininos contendo fotos, nomes e idades. Nenhum desses perfis é realmente acessível. Ao tentar interagir com eles, o usuário é solicitado a inserir um "código de desbloqueio". Cada perfil está vinculado a um número específico do WhatsApp e, ao inserir o código esperado, o aplicativo abre automaticamente o WhatsApp e inicia uma conversa com esse número, facilitando golpes românticos e atividades de engenharia social.
Vigilância silenciosa e exfiltração contínua de dados
O GhostChat executa operações maliciosas em segundo plano desde o momento em que é iniciado, mesmo antes da etapa de login. Ele monitora a atividade do dispositivo e transmite as informações coletadas para um servidor remoto de comando e controle (C2). O malware verifica periodicamente o dispositivo em busca de novos conteúdos, enviando fotos automaticamente e verificando a existência de documentos recém-criados ou armazenados a cada cinco minutos. O escopo dos dados coletados inclui:
Identificadores de dispositivos, listas de contatos, imagens e documentos como PDFs, arquivos do Word, Excel e PowerPoint.
Cadeia de infecção de infraestrutura compartilhada e desktops
A infraestrutura de comando e controle do GhostChat também é usada para distribuir componentes maliciosos adicionais. Entre eles, está um arquivo DLL associado ao ClickFix, uma técnica projetada para enganar os usuários e levá-los a executar o malware por conta própria, seguindo instruções falsas. Esse método amplia a ameaça para além de dispositivos móveis e possibilita a infecção de sistemas de desktop.
Abuso de identidades confiáveis por meio de alertas falsos
As campanhas ClickFix associadas ao GhostChat utilizam sites enganosos e alertas de segurança falsos. Nos casos observados, os atacantes se fazem passar pela Equipe de Resposta a Emergências Cibernéticas do Paquistão (CERT), exibindo mensagens alarmantes sobre supostas ameaças à infraestrutura nacional e às redes governamentais. As vítimas são induzidas a clicar em um botão "Atualizar", que inicia o download e a execução da DLL maliciosa. Uma vez ativa, a DLL envia informações do sistema, como o nome do computador e o nome de usuário, para um servidor de comandos, verifica repetidamente se há instruções adicionais e executa os comandos recebidos usando o PowerShell.
Golpes de apropriação de contas do WhatsApp por meio de códigos QR
Os criminosos também realizam golpes direcionados a usuários do WhatsApp, focados em dispositivos móveis. As vítimas são atraídas para um site fraudulento que alega ter vínculo com o Ministério da Defesa do Paquistão e são incentivadas a participar de uma comunidade falsa. Ao escanear um código QR fornecido, a conta do WhatsApp da vítima é vinculada ao WhatsApp Web ou Desktop, que fica sob o controle do atacante. Isso concede acesso total às conversas e aos contatos, permitindo, na prática, a tomada da conta sem que o usuário perceba imediatamente.
Estratégia de Distribuição e Mitigação de Riscos
O GhostChat é distribuído exclusivamente fora das lojas de aplicativos oficiais. Ele é promovido como um aplicativo de encontros ou mensagens e utiliza táticas de golpes românticos para persuadir os usuários a instalarem manualmente o APK e habilitarem a instalação de fontes desconhecidas. Uma vez instalado, o malware solicita permissões imediatamente e inicia atividades de espionagem secretas. Essas campanhas coordenadas combinam engenharia social, spyware e sequestro de contas para comprometer ambientes móveis e de desktop. A vigilância contra links não solicitados, pop-ups alarmantes, aplicativos não oficiais e códigos QR inesperados continua sendo fundamental para proteger dados pessoais e contas de usuários.
