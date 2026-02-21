As fraudes românticas são cada vez mais comuns, mas o GhostChat usa-as no contexto de uma operação cibercriminosa a grande escala.

As vítimas descarregaram o GhostChat de fontes externas

Os investigadores da ESET, maior empresa europeia de cibersegurança, descobriram uma campanha de spyware para Android que recorre a táticas de fraudes românticas.

A campanha utiliza uma app maliciosa que se faz passar por uma plataforma de chat que permite aos utilizadores iniciar conversas através do WhatsApp. Por trás da farsa romântica, o verdadeiro objetivo da app, a que a ESET chamou GhostChat, é roubar os dados das vítimas.

Os cibercriminosos responsáveis por esta campanha parecem estar também a realizar uma operação de ciberespionagem, incluindo um ataque ClickFix que leva ao comprometimento dos computadores das vítimas e um ataque de ligação de dispositivos WhatsApp que obtém acesso às contas das vítimas.

As vítimas descarregaram o GhostChat de fontes externas, uma vez que requer instalação manual, não está disponível no Google Play e o Google Play Protect bloqueia a app.

Esta campanha utiliza um método que ainda não tinha sido visto em esquemas semelhantes: perfis femininos falsos no GhostChat são apresentados às potenciais vítimas como bloqueados, com senhas necessárias para obter acesso. No entanto, como os códigos estão predefinidos na app, esta é apenas uma tática de engenharia social destinada a criar a impressão de acesso exclusivo para as potenciais vítimas. A investigação da ESET revela uma campanha de ciberespionagem altamente direcionada e multifacetada.

O GhostChat copia o ícone de uma app de encontros legítima, mas não tem as mesmas funcionalidades; em vez disso, serve como isca e ferramenta para ciberespionagem em dispositivos móveis.

Depois de fazerem login, as vítimas veem uma seleção de 14 perfis femininos; cada perfil está ligado a um número específico do WhatsApp.

Ao inserir o código correto, a app redireciona o utilizador para o WhatsApp para iniciar uma conversa com o número atribuído, que na verdade está a ser controlado por um cibercriminoso.

Enquanto a vítima interage com a app, e mesmo antes de iniciar sessão, o GhostChat já começou a ser executado em segundo plano, monitorizando silenciosamente a atividade do dispositivo e desviando dados confidenciais para um servidor malicioso.

O GhostChat configura também um observador de conteúdo para monitorizar imagens recém-criadas e carrega-as à medida que aparecem. Para além disso, agenda uma tarefa periódica que verifica novos documentos a cada cinco minutos, garantindo vigilância e recolha de dados contínuas.

A campanha está ligada a uma rede de operações mais ampla que envolve malware baseado no ClickFix e roubo de contas WhatsApp. Estas operações utilizam websites falsos, falsificação de identidade e códigos QR enganosos para comprometer plataformas desktop e móveis.

O ClickFix é uma técnica de engenharia social que induz os utilizadores a executar manualmente códigos maliciosos nos seus dispositivos, seguindo instruções aparentemente legítimas.

O GhostChat parece focar-se no Paquistão, mas a ESET recomenda que utilizadores de todo o mundo estejam atentos a esquema semelhantes.