As fraudes românticas não são novidade no universo digital, mas a sua utilização como porta de entrada para campanhas de spyware em Android revela um novo nível de sofisticação. Investigadores da ESET identificaram uma operação maliciosa que recorre a uma aplicação falsa de chat, denominada GhostChat, para comprometer dispositivos móveis e roubar dados sensíveis.
À primeira vista, a aplicação apresenta-se como uma plataforma de conversação que facilita o contacto via WhatsApp. No entanto, por trás da promessa de interação social, esconde-se uma estrutura de ciberespionagem desenhada para monitorizar atividade e exfiltrar informação das vítimas.
Engenharia social com aparência legítima
O GhostChat imita o ícone de uma aplicação de encontros legítima, criando uma sensação de familiaridade. Depois da instalação manual — necessária porque a app não está disponível na Google Play — os utilizadores são confrontados com uma lista de perfis femininos aparentemente exclusivos.
A campanha introduz um elemento de “acesso bloqueado”, onde cada perfil requer um código para iniciar a conversa. Estes códigos, contudo, estão predefinidos na própria aplicação e fazem parte de uma estratégia de engenharia social para criar a perceção de exclusividade e urgência.
Após inserir o código, a vítima é redirecionada para uma conversa no WhatsApp com um número controlado pelos atacantes. O objetivo é estabelecer contacto e aprofundar a manipulação emocional, enquanto o spyware já opera em segundo plano.
Monitorização silenciosa e recolha contínua de dados
Mesmo antes de o utilizador iniciar sessão, o GhostChat começa a executar processos maliciosos. A aplicação monitoriza atividade no dispositivo, observa ficheiros criados recentemente — incluindo imagens — e envia dados para servidores controlados pelos atacantes.
Além disso, executa verificações periódicas para identificar novos documentos armazenados no equipamento, assegurando recolha constante de informação. De acordo com a ESET, esta capacidade de vigilância contínua demonstra um nível de planeamento superior ao habitual em campanhas de fraude romântica tradicionais.
Uma operação mais ampla de ciberespionagem
A investigação indica que o GhostChat faz parte de uma campanha mais abrangente que inclui técnicas como ataques ClickFix e comprometimento de contas WhatsApp através da ligação fraudulenta de dispositivos.
O método ClickFix baseia-se na manipulação do utilizador para executar manualmente código malicioso, sob a aparência de instruções legítimas. Em conjunto com websites falsos e códigos QR enganosos, a operação demonstra um ecossistema coordenado entre dispositivos móveis e desktop.
Embora a campanha pareça ter como foco principal utilizadores no Paquistão, o padrão de ataque pode ser replicado globalmente, especialmente em períodos sensíveis como o Dia de São Valentim, quando esquemas românticos tendem a intensificar-se.
O que devemos saber
Aplicações descarregadas fora de lojas oficiais, permissões excessivas e ausência de soluções de proteção continuam a ser vetores críticos de risco.
A recomendação passa por evitar instalações manuais de aplicações desconhecidas, desconfiar de interações que criem sensação de exclusividade ou urgência e manter soluções de segurança atualizadas.
O GhostChat é mais um exemplo de como a engenharia social continua a evoluir. A tecnologia pode aproximar pessoas, mas também pode ser usada como instrumento de exploração. A diferença está na literacia digital e na capacidade de reconhecer sinais de alerta.