Ferramenta vendida como serviço oferece controle remoto total de celulares Android e promete ser “impossível de remover”
Malware – Um novo tipo de ameaça cibernética está preocupando especialistas em segurança digital no Brasil. Chamado GhostSpy, o malware foi identificado como um trojan de acesso remoto (RAT) direcionado a dispositivos Android. A ferramenta é oferecida como um serviço (SaaS), permitindo que qualquer usuário mal-intencionado tenha controle total sobre os aparelhos infectados, com funcionalidades de espionagem e roubo de dados pessoais.
O GhostSpy se destaca por seu modelo de comercialização: os criminosos vendem o acesso à ferramenta por meio de planos mensais, com direito a um painel online para controlar os dispositivos atacados, contrato de uso e até multa de R$ 100 mil em caso de violação das regras.
LEIA: Câncer tem se tornado doença crônica controlável com novas terapias
Segundo o relatório, essa estrutura tem atraído cada vez mais criminosos, justamente por facilitar o acesso a tecnologias avançadas de invasão e por operar com soluções automatizadas na nuvem.
Entre os recursos oferecidos pelo malware estão:
* Controle remoto da tela e das ações do dispositivo;
* Registro de tudo o que é digitado (keylogger);
* Roubo de mensagens, fotos, chamadas, contatos e localização;
* Gerenciamento e envio de arquivos;
* “Modo de privacidade”, que escurece a tela do aparelho para que o usuário não perceba que está sendo monitorado.
O GhostSpy costuma ser disfarçado como documentos, recibos ou arquivos com aparência legítima em formato “.apk”, e utiliza nomes de empresas conhecidas para enganar os alvos, incluindo marcas de logística, bancos, e-commerces e até instituições públicas. Uma vez instalado, o malware se aproveita da permissão de acessibilidade do Android para obter controle avançado do sistema, e ainda afirma burlar o Google Play Protect e configurar automaticamente as permissões necessárias.
O relatório também aponta que, embora o contrato de uso tente isentar os desenvolvedores de responsabilidade, a operação está diretamente ligada a um cibercriminoso conhecido como “Goiano”. De acordo com investigações do canal OneRevealed, ele é considerado um farsante dentro da comunidade hacker, conhecido por reaproveitar códigos abertos e disfarçá-los como novas ferramentas, prática conhecida como rebranding.
Ainda segundo o canal, o GhostSpy seria uma versão modificada do GoatRAT, que ganhou fama como o “Vírus do Pix” no Brasil. A principal alteração seria o desenvolvimento de um painel web com aparência mais profissional, o que mascararia a origem do código. A suposta prática não é nova: “Goiano” já teria renomeado diversas outras ferramentas, como Spysolr, Everspy, Brata RAT e Phoenix RCU, entre outras.
Outro risco grave revelado pelo relatório está em uma falha crítica do painel de controle do GhostSpy, que permite o acesso irrestrito às informações roubadas, mesmo por terceiros desconhecidos. Ou seja, além do roubo, há grande chance de vazamento dos dados coletados para múltiplos atores.
Como se proteger
Para evitar cair em golpes como o do GhostSpy, especialistas reforçam a importância de instalar aplicativos apenas de fontes oficiais, como a Google Play Store, e manter atenção aos detalhes dos apps, como nome do desenvolvedor, número de downloads e comentários de outros usuários.
Outras dicas incluem:
* Desconfiar de mensagens que solicitam instalação de arquivos ou rastreamento de encomendas fora de canais oficiais;
* Nunca clicar em links enviados por desconhecidos;
* Usar senhas fortes e autenticação em dois fatores;
* Revisar regularmente as permissões dos aplicativos no sistema;
* Em caso de suspeita, desconectar o celular da internet e restaurá-lo para as configurações de fábrica.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/gorynvd)
