Pesquisadores identificaram uma campanha de spyware para Android que opera por meio de um falso aplicativo de namoro chamado GhostChat — distribuído fora das lojas oficiais e projetado para coletar dados sensíveis e manter vigilância contínua nos dispositivos comprometidos.
Como a campanha funciona
O caso foi detectado após um upload suspeito no VirusTotal originado do Paquistão (setembro de 2025). O aplicativo malicioso se apresenta como um serviço de chat/dating (referido como “Dating Apps without payment”) e nunca foi distribuído por lojas oficiais, exigindo instalação manual com a permissão para fontes externas — técnica que ajuda os operadores a evitar controles automáticos como o Google Play Protect.
Engenharia social e isca
Para atrair vítimas, o app mostra 14 perfis falsos apresentados como “Bloqueados” e requer códigos de desbloqueio. Esses códigos estão embutidos no aplicativo e distribuídos com ele, criando a ilusão de exclusividade. Ao inserir o código correto, o usuário é redirecionado ao WhatsApp para iniciar conversa com números controlados pelos atacantes, todos com código de país do Paquistão, aumentando a credibilidade da isca.
Capacidades de espionagem e persistência
O spyware ativa uma série de recursos de vigilância: coleta identificadores do dispositivo, listas de contatos e arquivos armazenados (imagens, PDFs e documentos Office). Ele configura observadores de conteúdo para monitorar novas imagens e executa varreduras periódicas a cada cinco minutos para detectar e exfiltrar novos arquivos.
Além disso, o aplicativo solicita permissões que aparentam ser comuns para um app de mensagens, mas que habilitam funcionalidades sensíveis. GhostChat aproveita o broadcast BOOT_COMPLETED para reativar‑se após reinicializações e implementa persistência em foreground para evitar que otimizações de bateria encerrem seu serviço — mantendo monitoramento contínuo.
Comunicação e evasão
As comunicações com o comando e controle usam conexões HTTPS, o que torna o tráfego mais difícil de distinguir de tráfego legítimo criptografado. Pesquisadores também observaram técnicas de camuflagem no desenvolvimento e distribuição que ajudam a contornar detecções baseadas em hashes e listas de bloqueio.
Conclusões e recomendações
Segundo analistas do WeLiveSecurity citados na cobertura, a combinação de engenharia social, uso de instalação fora de lojas oficiais e persistência avançada torna a campanha resiliente. Recomendações práticas incluem:
- evitar instalar apps de fontes não oficiais e treinar usuários sobre o risco de permitir instalações externas;
- monitorar permissões sensíveis (Accessibility, acesso a armazenamento) e auditar apps que as requisitam;
- aplicar proteção endpoint/mobile‑EDR capaz de analisar comportamento e não apenas assinaturas;
- configurar controles de IAM e autenticação forte para serviços que possam ter credenciais comprometidas.
Fonte técnica citada: análise do WeLiveSecurity (ESET) resumida em reportagem do Cyber Security News.