GhostChat: La falsa aplicación de citas que espía dispositivos Android
Una aplicación de citas que promete conversaciones exclusivas con perfiles femeninos bloqueados es, en realidad, una sofisticada herramienta de espionaje móvil. Así opera GhostChat, una aplicación maliciosa para Android identificada por investigadores de ESET como parte de una campaña dirigida específicamente a usuarios en Pakistán, diseñada para la vigilancia encubierta y la extracción continua de información sensible.
La estrategia de engaño romántico
La investigación realizada por especialistas de ESET reveló que la campaña utiliza tácticas de estafa romántica para atraer víctimas. La aplicación se presenta falsamente como "Dating Apps sin pago", una aplicación legítima disponible en Google Play, utilizando incluso su icono original aunque no mantiene ninguna relación real con la plataforma genuina.
El inicio de esta campaña se remonta al 11 de septiembre de 2025, cuando una aplicación Android sospechosa fue subida a VirusTotal desde Pakistán. El análisis técnico demostró que, aunque imitaba perfectamente una aplicación de citas legítima, carecía completamente de su funcionalidad original y servía únicamente como señuelo y herramienta de espionaje móvil.
Mecanismos de instalación y funcionamiento
GhostChat nunca estuvo disponible en Google Play y requería instalación manual, lo que obligaba a los usuarios a habilitar permisos para instalar aplicaciones de fuentes desconocidas. Una vez ejecutada, la aplicación solicita múltiples permisos y presenta inmediatamente una pantalla de inicio de sesión.
Las credenciales de acceso no se validan mediante ningún servidor externo, sino que están 'hardcodeadas' directamente en el código de la aplicación, lo que significa que tanto la app como las credenciales se distribuyen conjuntamente como parte del paquete malicioso.
El engaño de los perfiles bloqueados
Tras iniciar sesión, los usuarios encuentran una selección de 14 perfiles femeninos, cada uno con fotografía, nombre y edad específicos. Todos estos perfiles aparecen marcados como "Bloqueados" y requieren un código de desbloqueo para acceder.
Estos códigos también están integrados directamente en la aplicación y no se validan de forma remota, evidenciando que se trata de una táctica de ingeniería social cuidadosamente diseñada para crear la ilusión de "acceso exclusivo" y mantener el interés de las víctimas.
Cada perfil está vinculado a un número de WhatsApp específico con código de país pakistaní (+92). Los números están integrados en la aplicación y no pueden modificarse a distancia. Al introducir el código correcto, la aplicación redirige automáticamente al usuario a WhatsApp para iniciar conversación con el número asignado.
Espionaje continuo en segundo plano
Mientras la víctima interactúa con la aplicación, incluso antes de completar el inicio de sesión, GhostChat se ejecuta silenciosamente en segundo plano, supervisando constantemente la actividad del dispositivo y enviando datos a un servidor de comando y control (C&C).
La exfiltración inicial de datos incluye:
- El ID único del dispositivo
- La lista completa de contactos en formato .txt
- Archivos almacenados en el dispositivo como imágenes, PDF y documentos Word, Excel, PowerPoint y Open XML
Además de esta extracción inicial, el spyware configura un observador especializado para supervisar imágenes recién creadas y programa una tarea automatizada que busca nuevos documentos cada cinco minutos, garantizando así una vigilancia continua y recopilación constante de datos.
Alcance y características de la campaña
Aunque la campaña parece estar centrada principalmente en Pakistán, los investigadores no han encontrado pruebas suficientes para atribuirla a un actor de amenazas específico. Sin embargo, los hallazgos técnicos apuntan claramente a una campaña coordinada y multiplataforma que combina ingeniería social avanzada, suplantación institucional cuidadosamente planeada y malware móvil especializado para ampliar significativamente el alcance de la vigilancia digital.
Esta amenaza representa un recordatorio importante sobre los riesgos de instalar aplicaciones desde fuentes no oficiales y la necesidad de mantener protocolos de seguridad robustos en dispositivos móviles, especialmente cuando se trata de aplicaciones que solicitan permisos extensivos o prometen acceso a contenido exclusivo mediante mecanismos poco convencionales.
