# Goontact > Tipo: **spyware mobile** · S0535 · [MITRE ATT&CK](https://attack.mitre.org/software/S0535) ## Descrição [[s0535-goontact|Goontact]] é um spyware para dispositivos móveis (iOS e Android) identificado pela Lookout em 2020, mas ativo desde pelo menos 2018. O malware é distribuído principalmente como aplicativo falso em sites de "acompanhante" (escort services) na Ásia Oriental - Coreia do Sul, China e Jápão - utilizando sextorsão como vetor de coerção. Os operadores atraem vítimas com serviços de acompanhamento online e as convencem a instalar um "aplicativo de comunicação" que é, na verdade, o spyware. Após instalação, os operadores coletam dados comprometedores para usar em chantagem financeira. O [[s0535-goontact|Goontact]] coleta uma ampla gama de dados do dispositivo comprometido: lista de contatos, histórico de chamadas, mensagens SMS, localização GPS em tempo real, fotos e vídeos da galeria, e captura de áudio via microfone. Toda esta informação é exfiltrada para servidores C2 dos operadores, que então entram em contato com as vítimas exigindo pagamento para não divulgar as informações para seus contatos. A versão iOS do malware utiliza perfis de configuração de empresa (enterprise certificates) para bypass das restrições da App Store, enquanto a versão Android utiliza sideloading. O modelo de negócios criminoso do [[s0535-goontact|Goontact]] - combinar spyware com sextorsão - é representativo de uma classe crescente de ameaças que exploram tanto a tecnologia quanto a psicologia da vítima. A sofisticação do malware, com suporte a iOS e Android, indica investimento significativo pelos operadores, sugerindo uma operação criminosa organizada e lucrativa. **Plataformas:** iOS, Android ## Técnicas Utilizadas - [[t1417-001-keylogging|T1417.001 - Keylogging]] - [[t1636-004-sms-messages|T1636.004 - SMS Messages]] - [[t1430-location-tracking|T1430 - Location Tracking]] - [[t1433-access-contact-list|T1433 - Access Contact List]] - [[t1432-access-call-log|T1432 - Access Call Log]] - [[t1429-audio-capture|T1429 - Audio Capture]] - [[t1437-001-web-protocols|T1437.001 - Web Protocols]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar aplicativos instalados fora da App Store / Play Store oficial em dispositivos corporativos via MDM > - Verificar perfis de configuração não-autorizados em dispositivos iOS corporativos > - Alertar sobre aplicativos que solicitam acesso a contatos, chamadas, SMS, localização e microfone simultaneamente > - Implementar soluções MTD que detectam comportamentos típicos de spyware (exfiltração de dados pessoais) > - Educação de usuários sobre riscos de instalação de aplicativos de fontes não-oficiais ## Relevância LATAM/Brasil Embora as campanhas do [[s0535-goontact|Goontact]] estejam focadas na Ásia, o modelo de spyware de sextorsão é crescentemente relevante no Brasil, onde campanhas similares utilizando aplicativos falsos para roubo de dados comprometedores têm sido identificadas. O Brasil, com alta base de usuários de smartphones e cultura de apps de relacionamento, é vulnerável a variantes deste vetor. Casos de sextorsão digital cresceram significativamente no Brasil nos últimos anos, e aplicativos de spyware comercial (stalkerware) são regularmente encontrados em dispositivos de vítimas de violência doméstica. A SaferNet Brasil e o CERT.br monitoram esta categoria de ameaças. ## Referências - [MITRE ATT&CK - S0535](https://attack.mitre.org/software/S0535) - [Lookout - Goontact Research](https://www.lookout.com/threat-intelligence/article/goontact)