Pesquisadores da ESET descobriram uma campanha de spyware para Android que utiliza um aplicativo malicioso, que se apresenta como uma plataforma de bate-papo romântico, com perfis falsos provavelmente operados via WhatsApp.
O centro de tudo é um aplicativo Android chamado GhostChat. Esse app não está na Google Play Store, então as pessoas precisam instalá-lo manualmente, aquela coisa de aceitar “instalar de fontes desconhecidas”.
Como funciona o golpe
O aplicativo parece uma plataforma de namoro, usando até o ícone de um app legítimo chamado “Dating Apps sem pagamento” para parecer confiável, mas não tem absolutamente nada a ver com o app verdadeiro.
Quando você instala e abre o GhostChat, ele pede várias permissões no seu celular e depois mostra uma tela de login. Aqui começa a primeira camada de engano, quando se preenche o usuário e senha para entrar.
O problema é que essas credenciais não são verificadas por nenhum servidor externo, elas estão simplesmente escritas no código do próprio app. Isso significa que quem distribui o app já manda junto com ele o login e senha que você deve usar.
Perfis bloqueados e códigos exclusivos
Depois que o usuário “loga”, aparece a tela principal com 14 perfis de mulheres, cada uma com foto, nome e idade. Todos os perfis aparecem como “Bloqueados”. Quando a vítima clica em um, o app pede um código para desbloqueá-lo. De novo, esses códigos também estão escritos no app, não são validados online.
A lógica é que quem recomendou o aplicativo para a vítima, também passou esses códigos, criando uma ilusão de “acesso exclusivo” e “conteúdo especial”. Psicologicamente, isso faz a vítima se sentir privilegiada, como se estivesse ganhando acesso a algo restrito.
Cada um desses perfis falsos está conectado a um número real de WhatsApp com código do Paquistão (+92). Quando você coloca o código certo, o app simplesmente abre o WhatsApp e inicia uma conversa com aquele número.
Do outro lado, provavelmente, está o próprio golpista ou alguém da equipe criminosa mantendo a farsa. Os pesquisadores acreditam que os criminosos ou têm vários chips paquistaneses ou estão usando algum serviço que fornece esses números, justamente para dar mais credibilidade, fazendo parecer que são pessoas reais do Paquistão.
O verdadeiro objetivo
Mas enquanto a vítima está entretida com essa história toda de namoro, o verdadeiro objetivo do app está acontecendo nos bastidores. Desde o momento que a vítima abre o GhostChat, mesmo antes de fazer login, o spyware já está rodando silenciosamente.
O malware faz uma exfiltração inicial de dados, pega o identificador do seu aparelho, exporta toda a sua lista de contatos para um arquivo de texto e vasculha o celular atrás de arquivos específicos, como imagens, PDFs, documentos do Word, Excel, PowerPoint. Tudo isso é enviado para um servidor controlado pelos atacantes.
Depois dessa primeira varredura, o app fica ativo continuamente. Ele instala um observador que monitora quando você tira novas fotos ou recebe imagens, mandando elas automaticamente pro servidor. A cada cinco minutos, ele verifica se apareceram documentos novos no seu celular. É uma vigilância constante e automática.
Ataques em computadores via ClickFix
Os pesquisadores descobriram que a operação tinha potencial de escalar, quando encontraram conexões com outros ataques. O mesmo servidor que recebe os dados do GhostChat também estava sendo usado em campanhas voltadas para computadores.
Uma delas usa a técnica chamada ClickFix, que é basicamente enganar as pessoas para elas mesmas executarem códigos maliciosos nos próprios computadores.
Leia mais: Golpe do ClickFix usa vídeos e timer para pressionar vítimas.
Nesse caso específico, os criminosos criaram um site falso que imitava o PKCERT, que é a equipe oficial de resposta a emergências cibernéticas do Paquistão. O site mostrava um aviso de segurança fraudulento, dizendo que havia algum problema afetando infraestruturas nacionais e redes do governo, e tinha um botão para a vítima atualizar ou resolver o problema.
Quando a vítima clica, apareciam instruções que faziam ela baixar e executar um arquivo DLL malicioso.
Esse arquivo DLL funciona como um backdoor. Quando executa, ele se conecta ao servidor dos atacantes e manda informações básicas, como o nome do computador e nome de usuário da vítima.
Se não conseguir pegar essas informações, manda códigos padrão tipo “UnUsr” (usuário desconhecido) e “UPC” (PC desconhecido). Depois disso, o malware entra num loop infinito, consultando o servidor a cada cinco minutos esperando ordens.
Quando o servidor responde, ele manda comandos PowerShell codificados em base64, que o malware executa imediatamente na sua máquina de forma invisível, sem janelas aparecendo ou alertas.
Isso dá controle total ao atacante para fazer praticamente qualquer coisa no computador da vítima remotamente. Quando os pesquisadores analisaram, o servidor não estava respondendo com comandos, o que os levou a acreditar que a campanha estivesse pausada ou esperando vítimas específicas.
Sequestro de contas do WhatsApp
E tem ainda uma terceira frente de ataque, o sequestro de contas do WhatsApp, chamado de “GhostPairing”. Os criminosos criaram outro site falso, dessa vez se passando por um canal oficial do Ministério da Defesa do Paquistão. O site convida as pessoas a participarem de uma “comunidade” mostrando um código QR para escanear.
Quando a vítima escaneia esse QR, ela está na verdade vinculando sua conta do WhatsApp ao dispositivo dos atacantes, do mesmo jeito que faria para usar o WhatsApp Web num computador.
Só que nesse caso, a vítima dá acesso total da sua conta para eles. Eles conseguem ver todo o seu histórico de conversas, seus contatos, e acompanhar tudo que você faz em tempo real. O WhatsApp até envia uma notificação depois avisando que um novo dispositivo foi conectado, mas nesse ponto o estrago já está feito.
Operação coordenada
O que torna essa campanha particularmente preocupante é a coordenação entre todas essas táticas. Não é um ataque isolado, é uma operação multiplataforma que combina engenharia social bem elaborada, malware para celular e para computador, e técnicas de sequestro de conta.
Tudo voltado especificamente para pessoas no Paquistão, usando iscas que fazem sentido naquele contexto cultural e social.
Os pesquisadores da ESET compartilharam essas descobertas com o Google, e o Google Play Protect, sistema de proteção que vem habilitado por padrão nos Androids, já está bloqueando versões conhecidas desse spyware.
Mas como não sabem exatamente quem está por trás disso nem como o app inicial está sendo distribuído, é difícil saber a escala real dessa operação ou quantas pessoas foram afetadas.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.