Trojan direcionado a celulares Android

Postado por Gerson Raymond em ago 8, 2025 em BÁSICO, DIVERSOS, EXPLORANDO, NOTÍCIAS |

Comentários desativados

GhostSpy: novo trojan direcionado a celulares Android explora PIX e rouba dados

A Zenox, empresa de segurança, identificou um esquema no Brasil envolvendo um trojan Android chamado GhostSpy — apelidado de “vírus do PIX” — que se tornou disponível como serviço (malware-as-a-service) e foca em ataques sofisticados a usuários Android. O controle é gerenciado via painel web, com contratos que impõem até multa de R$ 100 mil por uso indevido.

Modo de operação e infraestrutura do GhostSpy

O GhostSpy é distribuído em formato de APK malicioso disfarçado de recibo, certificado ou aplicativo de entrega, com foco no público brasileiro. Após a instalação, o malware utiliza os serviços de acessibilidade do Android para se promover automaticamente a administrador do dispositivo, concedendo a si próprio permissões completas, incluindo acesso à tela, SMS e câmera.

Principais funcionalidades do malware

GhostSpy oferece ao operador controle total do dispositivo infectado:

Monitoramento remoto da tela e simulação de toques, incluindo sobreposição de tela para ocultar atividade;
Registro de teclado (keylogging) para capturar senhas, mensagens e OTPs;
Roubo de dados pessoais como contatos, fotos, registros de chamadas e SMS;
Gravação de áudio e captura de fotos remotas;
Rastreamento da localização em tempo real;
Manipulação de arquivos, envio de SMS de phishing e exfiltração de dados para servidores controlados.

Essa combinação de espionagem avançada e persistência torna o GhostSpy extremamente perigoso e difícil de remover mesmo em ambientes Android modernos.

Persistência e evasão de detecção

GhostSpy adota técnicas de evasão sofisticadas: sobreposições de tela impedem a interação, avisos falsos bloqueiam a desinstalação via configurações, e a aplicação se oculta da lista de aplicativos instalados. Além disso, ele contorna proteções como o Google Play Protect e emprega técnicas para burlar restrições em aplicativos bancários, capturando interface gráfica protegida com reconstrução de visual (skeleton view).

Riscos específicos para usuários e empresas

O GhostSpy pode capturar códigos de autenticação SSA (como Google ou Microsoft Authenticator), monitorar transações PIX em tempo real e extrair credenciais bancárias. Para empresas, esse risco se multiplica caso dispositivos corporativos sejam infectados: dados sensíveis, comunicações internas e recursos financeiros podem ser exfiltrados ou utilizados para fraudes.

Mitigações e boas práticas de defesa móvel

Evite instalar APKs fora das lojas oficiais;
Não conceda permissões de Acessibilidade ou Admin de dispositivo sem total confiança no app;
Revise regularmente apps com acesso extensivo;
Utilize soluções de Mobile Threat Defense (MTD) com detecção comportamental;
Desconfie de links ou arquivos transmitidos via SMS, WhatsApp ou Telegram;
Ao suspeitar de infecção, retire imediatamente o celular da rede e consulte suporte técnico especializado.

Conclusão

O GhostSpy representa uma evolução preocupante no cenário de malware Android: sua abordagem via SaaS democratiza o acesso a ferramentas de espionagem e fraude para agentes menos qualificados. Sua combinação de automação adversária, persistência e controle remoto completo transforma qualquer dispositivo infectado em vetor de ação maliciosa sofisticada.

Para proteger usuários e organizações, é essencial adotar uma postura de segurança proativa: restringindo permissões sensíveis, usando soluções de segurança móveis eficazes, educando colaboradores e monitorando dispositivos corporativos. Em um contexto onde o smartphone é extensão da vida profissional e pessoal, o GhostSpy serve como alerta sobre os perigos invisíveis que podem surgir com um simples toque equivocado.

Referências Bibliográficas: