Vírus do Pix: trojan GhostSpy ataca celulares Android no Brasil e rouba dados bancários

Uma nova ameaça digital chamada GhostSpy está comprometendo a segurança de smartphones Android no Brasil. Identificado pela empresa de cibersegurança Zenox, este trojan de acesso remoto é comercializado como serviço por cibercriminosos e tem como alvo principal o roubo de dados bancários e informações pessoais dos usuários brasileiros. Sim, o GhostSpy é um SaaS para cibercriminosos. O malware se destaca pela sofisticação e capacidade de burlar mecanismos de proteção, como o Google Play Protect.

Diferente de ataques convencionais, o GhostSpy é vendido no modelo de software como serviço (SaaS), com planos de pagamento mensal e até termos de uso formalizados que incluem multa de R$ 100 mil para quem violar as regras estabelecidas pelos criminosos. Esta abordagem “profissionalizada” do crime digital demonstra a evolução das táticas utilizadas para comprometer dispositivos Android no país.

Você também pode gostar dos artigos abaixo:

• Como funciona e por que usar chaves de segurança físicas para aumentar sua segurança online
• Proteja sua conta! Como ativar a verificação em duas etapas no WhatsApp

De acordo com o relatório da Zenox, o GhostSpy oferece aos atacantes um painel de controle web completo, permitindo monitoramento em tempo real e acesso irrestrito aos dispositivos infectados. Entre os recursos oferecidos estão controle remoto da tela, captura de teclas digitadas (keylogger), modo de privacidade que esconde as ações do invasor, roubo de dados pessoais, gerenciamento de arquivos e rastreamento de localização.

A disseminação do malware acontece principalmente através de arquivos .APK disfarçados como documentos, certificados ou recibos. Os criminosos utilizam nomes de empresas brasileiras conhecidas, incluindo bancos, serviços de logística, e-commerces e até órgãos governamentais para enganar as vítimas e induzir a instalação do software malicioso.

A infraestrutura do golpe e seus riscos

O GhostSpy apresenta um risco adicional além do controle remoto: segundo a Zenox, o painel de gerenciamento do malware possui uma falha grave de segurança que permite o acesso irrestrito às informações roubadas, mesmo por terceiros não relacionados à operação criminosa. Isso significa que os dados das vítimas podem ser expostos a múltiplos atores mal-intencionados, aumentando significativamente o dano potencial.

Os desenvolvedores do GhostSpy tentam se isentar de responsabilidades através de termos de uso elaborados, mas a investigação aponta que a operação está vinculada a um cibercriminoso conhecido como “Goiano”. Curiosamente, este indivíduo é considerado um farsante pela própria comunidade hacker, sendo acusado de apenas renomear e reembalar malwares já existentes, como o GoatRAT (popularmente conhecido como “Vírus do Pix”).

Segundo denúncias do canal “OneRevealed”, especializado em investigar fraudes no submundo digital, “Goiano” seria um fraudador ativo no Telegram com histórico de golpes envolvendo trojans de acesso remoto. Ele teria sido responsável por diversas ferramentas maliciosas que são essencialmente rebranding de códigos já existentes, incluindo Spysolr, Everspy, Brata RAT, Ghost RAT, Brazil RAT, Phoenix RCU, A-Rat, Andromeda Rat e BT-MOB.

Como se proteger desta ameaça

Para evitar ser vítima do GhostSpy e de malwares similares, os usuários de dispositivos Android devem adotar medidas preventivas de segurança digital. A principal recomendação é instalar aplicativos exclusivamente através de lojas oficiais como a Google Play Store, evitando fontes desconhecidas e arquivos recebidos por mensagens, emails ou redes sociais.

O controle rigoroso das permissões concedidas aos aplicativos é fundamental. O GhostSpy depende especialmente do abuso da permissão de “Acessibilidade do Android”, que dá ao malware amplo controle sobre o dispositivo. Usuários devem revisar regularmente as permissões concedidas e remover acessos desnecessários, especialmente aqueles relacionados à acessibilidade, sobreposição de tela e acesso a notificações.

Outras práticas recomendadas incluem desconfiar de mensagens que solicitam instalação urgente de aplicativos, não clicar em links suspeitos, ativar verificação em duas etapas para contas online, usar senhas fortes e evitar padrões simples de desbloqueio. Em caso de suspeita de infecção, o ideal é desconectar o dispositivo da internet e, se necessário, restaurá-lo para os padrões de fábrica.

A sofisticação crescente de malwares como o GhostSpy ressalta a importância de manter-se vigilante no ambiente digital. O modelo de negócio adotado por estes criminosos, com infraestrutura em nuvem e interfaces amigáveis, demonstra como o cibercrime está se profissionalizando no Brasil, exigindo atenção redobrada dos usuários para proteger seus dados pessoais e financeiros.