Não é amor, é golpe: malware se disfarça de "Tinder Grátis" para roubar dados

Pesquisadores da empresa de cibersegurança ESET descobriram uma campanha de spyware no Android que finge ser um aplicativo de relacionamento, mas na verdade rouba dados dos usuários, especialmente no Paquistão. Perfis falsos, operados via WhatsApp, servem de isca para o aplicativo, apelidado de GhostChat pela companhia. A informação é do CanalTech

Segundo a ESET, o nível de sofisticação e profundidade do golpe é incomum em esquemas do tipo: perfis de mulheres são apresentados à vítima, mas ficam “bloqueados”, precisando de um código para liberação. Previamente estabelecidos pelo aplicativo, esses números são fornecidos para o usuário pelos golpistas por engenharia social, gerando uma sensação de exclusividade atraente.

Embora os pesquisadores ainda não tenham descoberto como o aplicativo malicioso é distribuído, foi possível identificar uma operação de spyware em maior escala, incluindo ataques ClickFix voltados à invasão do WhatsApp das vítimas. São usados websites imitando setores do governo Paquistanês e números de telefone do país.

O GhostChat não é um aplicativo comum, e não está disponível na Google Play Store: ele só pode ser baixado clandestinamente, sendo que o usuário deve permitir aplicativos de fontes desconhecidas no aparelho. O disfarce é anunciado como uma “plataforma de chat de relacionamento sem pagamento”, baseado em um aplicativo real chamado Dating Apps without payment, disponível na Play Store.

Apesar de contar com página de login, o aplicativo malicioso sequer é conectado a um servidor: as credenciais ficam no próprio app, que já vem com todas as funcionalidades ao ser baixado.

A vítima, então, pode selecionar 14 perfis femininos com foto, nome e idade para conversar. Usar o código fornecido pelos golpistas em uma delas leva para uma conversa de WhatsApp com um número do Paquistão (+92), também embutido no app. Os hackers possuem múltiplos chips paquistaneses ou compram de um terceiro, segundo os pesquisadores.

Durante a conversa, o GhostChat já está rodando no fundo e roubando documentos do usuário, desde PDFs e arquivos do Word a Excel, PowerPoint, Open XML e até fotos e mensagens. Também são roubados os contatos e o ID do aparelho via arquivo .txt. Um arquivo DLL incluso no malware contém uma outra parte da campanha spyware, com método ClickFix.

Ataques ClickFix exigem a interação do usuário para “consertar” supostas falhas fabricadas pelos golpistas, neste caso simulando a Equipe de Resposta de Emergência Computacional do Paquistão (PKCERT).

A técnica, chamada GhostPairing, se aproveita dos contatos e informações roubadas do usuário para acessar o computador e o celular como se fosse o próprio, roubando mais informações sensíveis e espionando qualquer atividade. QR Codes, spoofing de governos e engenharia social têm sido combinados para aumentar ainda mais o sucesso desses ataques, exigindo cada vez mais atenção por parte dos internautas.

Siga o CN1 no Google Notícias e tenha acesso aos destaques do dia.