Os investigadores da ESET descobriram uma campanha de spyware para Android que recorre a táticas de fraudes românticas. A campanha utiliza uma app maliciosa que se faz passar por uma plataforma de chat que permite aos utilizadores iniciar conversas através do WhatsApp. Por trás da farsa romântica, o verdadeiro objetivo da app, a que a ESET chamou GhostChat, é roubar os dados das vítimas.
Os cibercriminosos responsáveis por esta campanha parecem estar também a realizar uma operação de ciberespionagem, incluindo um ataque ClickFix que leva ao comprometimento dos computadores das vítimas e um ataque de ligação de dispositivos WhatsApp que obtém acesso às contas das vítimas. As vítimas descarregaram o GhostChat de fontes externas, uma vez que requer instalação manual, não está disponível no Google Play e o Google Play Protect bloqueia a app.
Esta campanha utiliza um método que ainda não tinha sido visto em esquemas semelhantes: perfis femininos falsos no GhostChat são apresentados às potenciais vítimas como bloqueados, com senhas necessárias para obter acesso. No entanto, como os códigos estão predefinidos na app, esta é apenas uma tática de engenharia social destinada a criar a impressão de acesso exclusivo para as potenciais vítimas. A investigação da ESET revela uma campanha de ciberespionagem altamente direcionada e multifacetada.
O GhostChat copia o ícone de uma app de encontros legítima, mas não tem as mesmas funcionalidades; em vez disso, serve como isca e ferramenta para ciberespionagem em dispositivos móveis. Depois de fazerem login, as vítimas veem uma seleção de 14 perfis femininos; cada perfil está ligado a um número específico do WhatsApp. Ao inserir o código correto, a app redireciona o utilizador para o WhatsApp para iniciar uma conversa com o número atribuído, que na verdade está a ser controlado por um cibercriminoso.
Enquanto a vítima interage com a app, e mesmo antes de iniciar sessão, o GhostChat já começou a ser executado em segundo plano, monitorizando silenciosamente a atividade do dispositivo e desviando dados confidenciais para um servidor malicioso. O GhostChat configura também um observador de conteúdo para monitorizar imagens recém-criadas e carrega-as à medida que aparecem. Para além disso, agenda uma tarefa periódica que verifica novos documentos a cada cinco minutos, garantindo vigilância e recolha de dados contínuas.
A campanha está ligada a uma rede de operações mais ampla que envolve malware baseado no ClickFix e roubo de contas WhatsApp. Estas operações utilizam websites falsos, falsificação de identidade e códigos QR enganosos para comprometer plataformas desktop e móveis. O ClickFix é uma técnica de engenharia social que induz os utilizadores a executar manualmente códigos maliciosos nos seus dispositivos, seguindo instruções aparentemente legítimas.
O GhostChat parece focar-se no Paquistão, mas a ESET recomenda que utilizadores de todo o mundo estejam atentos a esquema semelhantes.
Detalhes técnicos: https://www.welivesecurity.com/en/eset-research/love-actually-fake-dating-app-used-lure-targeted-spyware-campaign-pakistan/
