Logo TecMundo
Segurança

Novo 'Vírus do Pix', GhostSpy foca ataques em celulares Android no Brasil

GhostSpy é vendido como serviço, com painel para controlar o acesso remoto, executar roubo de dados e tem até multa contratual para seus usuários!

Avatar do(a) autor(a): Adriano Camacho
Adriano Camacho

schedule31/07/2025, às 19:15

updateAtualizado em 31/07/2025, às 19:39

Um novo esquema de golpes focados na plataforma Android foi identificado no Brasil. Segundo o relatório da Zenox, empresa especialista em cibersegurança, cibercriminosos desenvolveram um sistema para a criação de aplicativos dedicados ao furto de dados chamado “GhostSpy”.

A interface era vendida no modelo software-como-serviço (SaaS), por meio de planos de pagamentos mensais, com direito a termos de uso – e até multa de R$ 100 mil para os usuários que os violarem.

smart_display

Nossos vídeos em destaque

Assim como o golpe do recibo falso, esse tipo de esquema ganha cada vez mais relevância entre os criminosos. Em partes por democratizar o acesso ao crime para qualquer usuário malicioso, mas especialmente por oferecer “soluções automatizadas” e baseadas em nuvem para funcionar. 

O GhostSpy oferecia um extenso pacote de recursos, incluindo acesso remoto aos dispositivos Android e exfiltração de dados pessoais, além da promessa de ser “impossível de remover”.

Leia Mais
Drone ucraniano acha 'armazém de antiguidades' durante missão
undefined
Tela em que criminosos monitoravam celulares das vítimas no GhostSpy. (Fonte: Zenox / Reprodução)

O relatório ainda evidencia outro grave risco oferecido pelo sistema – a possibilidade de vazamento dos dados furtados para terceiros. Conforme aponta a Zenox, o painel de gerenciamento dos serviços fraudulentos possui uma falha grave que permite o acesso irrestrito às informações, mesmo à atores desconhecidos. 

Apesar do “contrato de uso”, que tenta isentar os desenvolvedores da responsabilidade final, toda a operação é ligada a “Goiano”, um cibercriminoso chamado de farsante pela comunidade hacker.

undefined
Termos de uso do GhostSpy. (Fonte: Zenox / Reprodução)

O que é GhostSpy e como ele funciona?

O GhostSpy trata-se de um Trojan de Acesso Remoto (RAT), com atuação direcionada a dispositivos Android. Assim como o nome sugere, essa classe de ameaças tem como objetivo final garantir o controle à distância dos sistemas comprometidos, geralmente sendo disfarçado como um arquivo ou aplicativo comum.

Nesse contexto, o GhostSpy se destaca pela “comodidades” oferecidas ao seu usuário, reunidas em um painel de controle web. A partir dele, o ator malicioso pode explorar inúmeras partes do sistema afetado, graças ao abuso da permissão de “Acessibilidade do Android”. 

Leia Mais
Malware Keenadu ataca celulares Android de brasileiros

Entre as possibilidades, estão:

  • Controle Remoto da Tela: O atacante pode ver o que é exibido na tela do dispositivo e até interagir com ela, controlando o que aparece e como o dispositivo responde;
  • Keylogger: O programa registra tudo o que a vítima digita, seja ao vivo ou armazenando as informações para envio posterior;
  • Modo de Privacidade: O dispositivo da vítima escurece a tela para esconder as ações do atacante, tornando difícil perceber que está sendo monitorado;
  • Roubo de Dados Pessoais: O malware consegue acessar e roubar informações como fotos, mensagens de texto, registros de chamadas, contatos e aplicativos instalados;
  • Gerenciamento de Arquivos: O invasor pode acessar, baixar ou até enviar arquivos para o dispositivo da vítima;
  • Rastreamento de Localização: O GhostSpy é capaz de rastrear a localização do dispositivo, monitorando onde ele está em tempo real.

Na prática, os dispositivos são infectados a partir de arquivos “.apk”, renomeados para se disfarçarem como documentos, certificados ou recibos, por exemplo. Segundo o relatório, os nomes utilizados pelos criminosos sugerem um foco no público brasileiro, frequentemente usando nomes de empresas de logística, bancos, e-commerces e até serviços governamentais como fachada.

undefined
Interface de criação de APKs falsos no GhostSpy. (Fonte: Zenox / Reprodução)

Segundo o marketing do GhostSpy, as vítimas ainda teriam uma grande dificuldade de se livrar da “infecção”. Ele é descrito como "impossível de remover", o que na verdade sugere a aplicação de técnicas avançadas para se manter no dispositivo. Além disso, o malware também promete burlar o Google Play Protect, bem como configurar automaticamente as permissões necessárias para explorar a vulnerabilidade.

O cibercriminoso responsável

Apoiado em evidências técnicas e denúncias da própria comunidade hacker, o relatório aponta que o criminoso conhecido como ‘Goiano’ está diretamente associado ao GhostSpy. No entanto, o suposto responsável pelo esquema, na verdade, pode ser um farsante.

Leia Mais
IPTV falso infecta vítimas e esvazia contas bancárias

Conforme afirmam as publicações do canal “OneRevealed”, que se dedica a investigar fraudes no submundo digital, ‘Goiano’ seria um fraudador ativo no Telegram, com foco em golpes digitais envolvendo trojans de acesso remoto (RATs).

Associado ao GhostSpy, ‘Goiano’ é considerado uma fraude na comunidade hacker

De acordo com as alegações, o GhostSpy seria uma versão renomeada e “reembalada” do GoatRAT, malware já conhecido no meio cibercriminoso – que se popularizou como “Vírus do Pix” no Brasil. Na nova versão, a principal mudança realizada por Goiano teria sido a criação de um painel web, com o objetivo de dar ao programa uma aparência mais profissional e exclusiva, mascarando sua real origem como uma adaptação de código já existente.

Em mais detalhes, a abordagem utilizada no GhostSpy é apenas a mais recente, em uma série recorrente de supostas fraudes de Goiano. O canal lista diversas ferramentas que teriam relação com o criminoso, que teriam sido modificadas a partir de códigos-fonte abertos ou crackeados, como Craxs RAT e Cypher RAT.

Leia Mais
ZeroDayRAT: spyware vendido no Telegram transforma qualquer um em espião

Segundo as acusações do OneRevealed, Goiano também seria responsável pelo rebranding dos sistemas abaixo:

  • Spysolr, baseado no GoatRAT
  • Everspy v2/v3 (rebranding de Craxs/Cypher RAT)
  • Brata RAT (rebranding de Craxs/Cypher RAT)
  • Ghost RAT (rebranding de Craxs RAT)
  • Brazil RAT / Brazilian RAT (rebranding de Craxs/Cypher RAT)
  • Phoenix RCU / PhoenixRCU (rebranding de Craxs/Cypher RAT)
  • A-Rat (rebranding de Cypher RAT)
  • Andromeda Rat (rebranding de Cypher RAT)
  • BT-MOB

Para evitar a identificação ou relação direta nas remarcações, Goiano teria usado uma série de outros apelidos – e até se passado por outros atores. A exemplo, o OneRevealed afirma que ele fingiu ser o agente ”EVLF”, e enfatizou que não se trata da mesma pessoa. O relatório ainda aponta outros supostos apelidos do criminoso:

  • @GhostSpyBotnet
  • @GhostspyVIP
  • @Everspy
  • @PhoenixRCU
  • @BrataRat
  • @brmob
  • @Spysolr
  • @brazillianspy

Como se proteger do GhostSpy e outros trojans de acesso remoto?

Para se proteger de ameaças como o GhostSpy, é fundamental ter atenção redobrada com os aplicativos instalados no celular. Prefira sempre baixar apps de lojas oficiais, como a Google Play Store, e evite clicar em links ou abrir arquivos recebidos por mensagens, e-mails ou redes sociais. Mesmo em ambientes confiáveis, vale a pena investigar antes de instalar: observe o nome do desenvolvedor, leia as avaliações de outros usuários e confira o número de downloads para garantir que o aplicativo é legítimo.

Outro ponto crucial é o controle de permissões do sistema. Aplicativos maliciosos costumam solicitar acessos desnecessários, como a permissão de Acessibilidade, que permite ler a tela e até controlar o dispositivo remotamente. Por isso, é importante revisar as configurações com frequência e só autorizar permissões a apps realmente confiáveis. 

Leia Mais
Quem é o autor de um texto encomendado por um humano a uma IA?

Além disso, adotar boas práticas de segurança digital também pode fazer toda a diferença:

  • Desconfie de mensagens que peçam instalações urgentes ou rastreamento de encomendas fora dos canais oficiais;
  • Não clique em links ou ligue para telefones enviados por fontes suspeitas;
  • Ative a verificação em duas etapas nas suas contas online;
  • Use senhas fortes e evite desbloqueios simples como padrões;
  • Em caso de suspeita de infecção, desconecte o celular da internet e considere restaurá-lo para os padrões de fábrica.

Já passou por algo similar ou conhece alguém que já caiu no GhostSpy? Nos conte nas redes sociais do TecMundo!

Perguntas Frequentes

O que é o GhostSpy e como ele funciona?
O GhostSpy é um trojan de acesso remoto (RAT) voltado para dispositivos Android. Ele permite que cibercriminosos controlem remotamente o celular da vítima, acessem dados pessoais, registrem tudo o que é digitado (keylogger), rastreiem a localização e até escondam suas ações com um "modo de privacidade". O malware é distribuído por meio de arquivos .apk disfarçados como documentos legítimos e abusa da permissão de acessibilidade do Android para operar.
Por que o GhostSpy é considerado perigoso?
Além de oferecer controle total do dispositivo infectado, o GhostSpy é descrito como "impossível de remover", indicando o uso de técnicas avançadas de persistência. Ele também promete burlar o Google Play Protect e configurar automaticamente as permissões necessárias. Outro risco grave é a falha no painel de controle do malware, que permite o vazamento dos dados roubados para terceiros, mesmo não envolvidos diretamente no ataque.
Como o GhostSpy é distribuído e quem são os alvos?
O GhostSpy é disseminado por meio de arquivos .apk renomeados para parecerem documentos legítimos, como recibos, certificados ou arquivos de empresas conhecidas. Os nomes usados sugerem um foco no público brasileiro, com referências a bancos, e-commerces, empresas de logística e até serviços governamentais.
Quem está por trás do GhostSpy?
O cibercriminoso conhecido como "Goiano" é apontado como o responsável pelo GhostSpy. No entanto, ele é considerado um farsante pela comunidade hacker. Segundo o canal OneRevealed, o GhostSpy seria apenas uma versão renomeada do GoatRAT, com um painel web adicionado para parecer mais profissional. Goiano também estaria envolvido em outras fraudes, reembalando malwares existentes sob novos nomes.
O que significa que o GhostSpy é vendido como "software como serviço" (SaaS)?
Significa que o GhostSpy é comercializado como um serviço online, com planos de pagamento mensais e acesso a um painel de controle web. Os usuários do malware recebem termos de uso e até cláusulas contratuais, como uma multa de R$ 100 mil em caso de violação, o que demonstra uma tentativa de profissionalizar e escalar o uso da ferramenta criminosa.
Quais são os principais recursos oferecidos pelo GhostSpy?
O GhostSpy oferece uma série de funcionalidades maliciosas, como controle remoto da tela, keylogger, modo de privacidade (que escurece a tela da vítima), roubo de dados pessoais (fotos, mensagens, contatos, etc.), gerenciamento de arquivos e rastreamento de localização em tempo real.
Como posso me proteger contra o GhostSpy e outros RATs?
Para se proteger, baixe aplicativos apenas de lojas oficiais como a Google Play Store, evite clicar em links suspeitos e revise as permissões concedidas aos apps, especialmente a de acessibilidade. Ative a verificação em duas etapas, use senhas fortes e desconfie de mensagens que pedem instalações urgentes. Em caso de suspeita de infecção, desconecte o celular da internet e considere restaurá-lo para os padrões de fábrica.
Avatar do(a) autor(a): Adriano Camacho
Adriano Camacho

Especialista em Cibersegurança, Produtos, Hardware e Jogos

Adriano Camacho é Editor de Conteúdo no TecMundo e no Voxel, com cinco anos de experiência na área. Pós-graduado em Jornalismo Digital pela FAAP, é especializado na cobertura de assuntos ligados à tecnologia e à cultura gamer contemporânea.

local_mall

Ofertas TecMundo

Atualizado há 18 horas
Fone Bluetooth HUAWEI FreeClip 2
51% off

Compre já!

Fone Bluetooth HUAWEI FreeClip 2

R$ 643,00

Áudio amazon.com.brnew_releases
Controle DualSense, PS5
26% off

Imperdível!

Controle DualSense, PS5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
Smartphone POCO C85, 256GB
37% off

Cupom GANHOU50

Smartphone POCO C85, 256GB

R$ 994,76

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA