Expertos en ciberseguridad descubrieron una campaña de spyware para Android que utiliza una aplicación maliciosa, denominada GhostChat, disfrazada de plataforma de chat.
La aplicación simula ser un servicio legítimo de citas llamado Dating Apps sin pago disponible en Google Play, cuyo nombre e ícono suplanta. Bajo esta fachada, permite iniciar conversaciones con perfiles femeninos que en realidad serían cuentas falsas operadas a través de WhatsApp. Sin embargo, su verdadero propósito es habilitar vigilancia encubierta del dispositivo y la extracción continua de datos confidenciales mientras permanezca instalada.
Cómo empieza el ataque
“La campaña utiliza un nivel de engaño no observado previamente en esquemas similares: los perfiles falsos se presentan como bloqueados y requieren un código de acceso. Es una táctica de ingeniería social para crear la impresión de ‘acceso exclusivo’. Aunque no sabemos cómo se distribuye la aplicación maliciosa, suponemos que esta estrategia forma parte del señuelo”, explicó Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
El ataque comienza con la instalación manual de la aplicación, ya que nunca estuvo disponible en Google Play. Para instalarla, el usuario debe habilitar permisos para aplicaciones de fuentes desconocidas. Una vez ejecutada, GhostChat solicita múltiples permisos y muestra una pantalla de inicio de sesión donde se piden credenciales.
Tras conceder los permisos, el spyware comienza a operar en segundo plano. Según ESET, los atacantes pueden monitorear la actividad del dispositivo y extraer información sensible, incluso antes de que el usuario inicie sesión.
Aunque la campaña parece estar dirigida principalmente a Pakistán, ESET indicó que no cuenta con pruebas suficientes para atribuirla a un actor específico. La compañía agregó que, como socio de App Defense Alliance, compartió los hallazgos con Google. Los dispositivos Android con Google Play Services cuentan con protección automática frente a las versiones conocidas de este spyware mediante Google Play Protect, activado por defecto.
Una vez dentro de la aplicación, se muestran 14 perfiles femeninos con fotografía, nombre y edad. Todos aparecen como “Bloqueados” y requieren un código para habilitar la conversación. Los códigos están integrados en la aplicación y no se validan de forma remota, lo que sugiere que son proporcionados previamente a la víctima.
Cada perfil está vinculado a un número de WhatsApp con código de país pakistaní (+92). Estos números están incorporados en la aplicación, lo que refuerza la apariencia de legitimidad.
Al ingresar el código correcto, la aplicación redirige al usuario a WhatsApp para iniciar la conversación. Mientras tanto, GhostChat ejecuta tareas de vigilancia activa: supervisa imágenes recién creadas y las envía a un servidor de comando y control (C&C), además de revisar cada cinco minutos la existencia de nuevos documentos para extraerlos.
“GhostChat no solo realiza una exfiltración inicial de datos, sino que mantiene una vigilancia continua del dispositivo”, advirtió López.
