Investigadores de ESET detectaron GhostChat, una aplicación maliciosa que utiliza perfiles falsos y tácticas de exclusividad para vigilar y robar datos de usuarios.
En el complejo mundo de la ciberseguridad, el ingenio de los atacantes parece no tener límites, especialmente cuando se trata de explotar las emociones humanas. Recientemente, el equipo de investigación de ESET descubrió una nueva y sofisticada campaña de spyware para Android que utiliza el deseo de conexión social como señuelo. Bajo el nombre de GhostChat, esta aplicación maliciosa se disfraza de una plataforma de chat legítima para infiltrarse en los dispositivos y realizar una vigilancia encubierta.
Lo que hace que GhostChat sea particularmente peligroso es su elaborado esquema de ingeniería social. La aplicación permite a los usuarios interactuar con perfiles femeninos que, en la realidad, son cuentas falsas operadas a través de WhatsApp. Para aumentar la sensación de legitimidad y urgencia, los atacantes presentan estos perfiles como «bloqueados», exigiendo un código de acceso para iniciar la conversación. Esta táctica crea una falsa impresión de exclusividad que engancha a la víctima desde el primer momento.
El proceso de infección y robo de datos
A diferencia de las aplicaciones convencionales, GhostChat nunca estuvo disponible en la tienda oficial Google Play. El ataque comienza con la distribución manual de la aplicación, que suplanta la identidad de una plataforma legítima llamada «Dating Apps sin pago», incluso utilizando su mismo icono para evitar sospechas. Los usuarios deben habilitar permisos para instalar aplicaciones de fuentes desconocidas, un paso crítico que abre la puerta al software espía.
Una vez instalada y ejecutada, la aplicación solicita una serie de permisos que le permiten tomar el control de la información del dispositivo. “La campaña utiliza un nivel de engaño no observado previamente en esquemas similares: los perfiles falsos se presentan a las víctimas potenciales como bloqueados y requieren un código de acceso. Se trata de una táctica de ingeniería social para crear la impresión de ‘acceso exclusivo’”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.
El espionaje no se detiene en la superficie. Una vez que la víctima inicia sesión, se le presentan 14 perfiles femeninos con foto, nombre y edad. Al intentar acceder a uno, se solicita un código de desbloqueo que, según los expertos, está «hardcodeado» en la aplicación y probablemente se comparte con la víctima de forma previa. Cada perfil está vinculado a un número de WhatsApp con el código de país de Pakistán (+92), lo que sugiere que los atacantes operan con múltiples tarjetas SIM locales para dar credibilidad a la estafa.
Vigilancia activa en segundo plano
Lo más alarmante es que el spyware GhostChat comienza a operar incluso antes de que el usuario inicie sesión. Mientras la persona navega por la interfaz, el programa monitorea silenciosamente la actividad del dispositivo y filtra datos confidenciales hacia un servidor de comando y control (C&C).
La capacidad de vigilancia es exhaustiva. Según Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica, el malware no solo extrae información inicial, sino que mantiene un monitoreo constante. “Más allá de la exfiltración inicial, GhostChat se dedica al espionaje activo: configura un observador de contenidos para supervisar las imágenes recién creadas y las carga a medida que aparecen. Además, programa una tarea periódica que busca nuevos documentos cada cinco minutos, lo que garantiza la vigilancia continua y la recopilación de datos”, asegura la experta.
Aunque la campaña parece estar concentrada principalmente en Pakistán, los usuarios de todo el mundo deben mantenerse alerta. Afortunadamente, quienes cuentan con Google Play Services están protegidos de forma automática por Google Play Protect, que detecta las versiones conocidas de este spyware. Sin embargo, la recomendación fundamental sigue siendo evitar la instalación de aplicaciones desde fuentes no oficiales y desconfiar de plataformas que soliciten códigos de acceso inusuales o permisos excesivos para funcionar.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
