Uma nova ameaça digital voltada para dispositivos Android foi identificada no país. Segundo a empresa de cibersegurança Zenox, trata-se do GhostSpy, um programa malicioso distribuído sob o modelo SaaS (Software como Serviço), que permite a criação de aplicativos voltados ao roubo de informações.
Esse sistema era comercializado por meio de assinaturas mensais e oferecia aos compradores um painel completo para gerenciamento remoto dos dispositivos infectados. Surpreendentemente, o serviço contava até com "termos de uso" e cláusula contratual de multa de R$ 100 mil, caso o acordo fosse descumprido.
Seguindo a lógica de golpes como o do falso comprovante bancário, o GhostSpy se destaca por facilitar o acesso ao cibercrime, permitindo que qualquer pessoa mal-intencionada contrate ferramentas prontas para operar fraudes. Como o funcionamento é baseado em nuvem, a gestão das ações maliciosas se torna ainda mais acessível e difícil de rastrear.
Entre os recursos oferecidos estão o acesso remoto completo ao sistema Android, captura de dados sensíveis e mecanismos para dificultar sua remoção, o que o torna extremamente perigoso. Um dos pontos mais críticos revelados pela Zenox é a existência de uma vulnerabilidade no painel de controle do GhostSpy, que permite a qualquer pessoa — inclusive estranhos ao esquema — visualizar os dados coletados, elevando ainda mais os riscos de vazamento.
Apesar da existência de um “contrato de uso” tentando eximir os desenvolvedores da responsabilidade, a operação tem relação direta com um cibercriminoso conhecido como “Goiano”, já denunciado anteriormente pela comunidade hacker como um fraudador reincidente.
Como funciona o GhostSpy
O GhostSpy é classificado como um Trojan de Acesso Remoto (RAT), cuja função é permitir que invasores assumam o controle total de dispositivos infectados, normalmente disfarçado como aplicativos ou documentos legítimos. Ele se destaca por oferecer uma interface online, onde o criminoso pode administrar múltiplas infecções de forma simples.
Explorando permissões avançadas do Android — como a de Acessibilidade — o malware é capaz de executar ações como:
-
Visualização e controle da tela em tempo real, com capacidade de interação remota;
-
Registro de tudo que é digitado (keylogger), armazenando ou transmitindo essas informações ao invasor;
-
Modo furtivo, que escurece a tela da vítima para dificultar a percepção de atividades suspeitas;
-
Roubo de dados pessoais, incluindo fotos, mensagens, registros de chamadas, contatos e apps;
-
Manipulação de arquivos, permitindo download, upload ou exclusão de documentos no aparelho;
-
Rastreamento de localização, com monitoramento em tempo real via GPS.
O vetor de infecção costuma ser arquivos .apk mascarados como comprovantes, boletos, certificados, notas fiscais ou documentos de empresas conhecidas — com nomes e temas voltados especificamente para o público brasileiro, como bancos, serviços públicos ou transportadoras.
A propaganda do próprio GhostSpy alegava que o malware seria “impossível de remover”, sugerindo o uso de técnicas sofisticadas de persistência. Também prometia burlar a proteção do Google Play Protect e ajustar automaticamente as permissões necessárias à sua operação.
O responsável por trás do golpe
Conforme a investigação da Zenox, o GhostSpy tem ligações diretas com um indivíduo chamado “Goiano”, conhecido por sua atuação em fraudes digitais no Telegram. Ele estaria por trás de diversas versões modificadas de RATs populares, com o objetivo de revendê-las sob marcas diferentes.
De acordo com denúncias do canal “OneRevealed”, que investiga esse tipo de golpe, o GhostSpy não passa de uma versão renomeada do já conhecido GoatRAT, popularizado como o “Vírus do Pix”. A única novidade seria a adição de um painel web para dar um aspecto mais “profissional” ao programa.
Outros projetos atribuídos ao mesmo criminoso incluem ferramentas derivadas de RATs de código aberto ou crackeado, como o Craxs RAT e Cypher RAT. Segundo o canal, Goiano estaria por trás de versões como:
-
Spysolr
-
Everspy (v2/v3)
-
Brata RAT
-
Ghost RAT
-
Brazil RAT
-
Phoenix RCU
-
A-Rat
-
Andromeda RAT
-
BT-MOB
Para evitar associação direta, ele teria utilizado vários pseudônimos — inclusive fingindo ser outros desenvolvedores, como “EVLF”. Entre os nomes e perfis usados estariam:
@GhostSpyBotnet
@GhostspyVIP
@Everspy
@PhoenixRCU
@BrataRat
@brmob
@Spysolr
@brazillianspy
Como se proteger contra o GhostSpy e outras ameaças semelhantes
A prevenção é o melhor caminho contra malwares como o GhostSpy. Para isso, siga as seguintes recomendações:
-
Instale apenas aplicativos das lojas oficiais, como a Google Play Store. Evite baixar arquivos .apk de fontes desconhecidas ou links recebidos por mensagens, e-mails ou redes sociais.
-
Verifique sempre o nome do desenvolvedor, as avaliações dos usuários e o número de downloads de qualquer app antes de instalá-lo.
-
Desconfie de apps que pedem permissões excessivas, especialmente aquelas relacionadas à acessibilidade, leitura da tela ou controle do sistema.
-
Revise regularmente as permissões ativas no seu celular, desativando aquelas que não forem indispensáveis.
-
Mantenha o sistema operacional e os aplicativos atualizados, garantindo que eventuais brechas de segurança sejam corrigidas.
-
Use autenticação em duas etapas nas suas contas online para impedir acessos não autorizados.
-
Evite desbloqueios simples, como padrões visuais ou combinações fáceis de adivinhar. Prefira senhas longas e únicas.
-
Caso suspeite de infecção, desligue a conexão de internet imediatamente e considere restaurar o celular para as configurações de fábrica.
O artigo "Novo 'Vírus do Pix', GhostSpy foca ataques em celulares Android no Brasil" foi escrito por Adriano Camacho no site TecMundo.
Disponível em: https://www.tecmundo.com.br/seguranca/406080-novo-virus-do-pix-trojan-ghostspy-foca-ataques-em-celulares-android.htm
