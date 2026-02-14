GhostChat solicita múltiples permisos al ejecutarse y presenta una pantalla de inicio de sesión para acceder a supuestos perfiles femeninos bloqueados. Foto: ESET

Una aplicación de citas que promete conversaciones exclusivas con perfiles femeninos bloqueados es, en realidad, una herramienta de espionaje móvil. Así funciona GhostChat, una aplicación maliciosa para Android que forma parte de una campaña dirigida a usuarios en Pakistán y que permite la vigilancia encubierta y la extracción continua de datos confidenciales.

La investigación fue realizada por especialistas de ESET, quienes identificaron que la campaña utiliza tácticas de estafa romántica para captar víctimas. La aplicación se hace pasar por una plataforma de chat llamada Dating Apps sin pago, una app legítima disponible en Google Play, utilizando su icono, aunque no guarda relación con ella.

Detrás de la fachada romántica, el verdadero propósito de la aplicación es la filtración de los datos de la víctima tanto en la primera ejecución como de forma continua mientras permanece instalada en el dispositivo.

El inicio de la campaña

El 11 de septiembre de 2025, una aplicación Android sospechosa fue subida a VirusTotal desde Pakistán. El análisis reveló que, aunque imitaba una aplicación de citas legítima, carecía de su funcionalidad original y servía como señuelo y herramienta de espionaje móvil.

GhostChat nunca estuvo disponible en Google Play y requería instalación manual, lo que obligaba a habilitar permisos para instalar aplicaciones de fuentes desconocidas. Tras su ejecución, solicita múltiples permisos y presenta una pantalla de inicio de sesión.

Las credenciales no se validan mediante ningún servidor: están ‘hardcodeadas’ en el código de la aplicación, lo que implica que tanto la app como las credenciales se distribuyen juntas.

El engaño de los perfiles bloqueados

Una vez iniciada la sesión, se presenta una selección de 14 perfiles femeninos, cada uno con foto, nombre y edad. Todos aparecen como “Bloqueados” y requieren un código de desbloqueo.

Estos códigos también están ‘hardcodeados’ en la aplicación y no se validan de forma remota, lo que evidencia que se trata de una táctica de ingeniería social para crear la impresión de “acceso exclusivo”.

Cada perfil está vinculado a un número de WhatsApp específico con código de país pakistaní (+92). Los números están integrados en la aplicación y no pueden modificarse a distancia. Al introducir el código correcto, la aplicación redirige al usuario a WhatsApp para iniciar conversación con el número asignado.

Espionaje en segundo plano

Mientras la víctima interactúa con la aplicación, incluso antes de iniciar sesión, GhostChat se ejecuta en segundo plano y supervisa silenciosamente la actividad del dispositivo, enviando datos a un servidor de C&C.

La exfiltración inicial incluye el ID del dispositivo, la lista de contactos en formato .txt y archivos almacenados en el dispositivo como imágenes, PDF y documentos Word, Excel, PowerPoint y Open XML.

Más allá de esa extracción inicial, el spyware configura un observador para supervisar imágenes recién creadas y programa una tarea que busca nuevos documentos cada cinco minutos, lo que garantiza vigilancia continua y recopilación constante de datos.

Aunque la campaña parece estar centrada en Pakistán, no existen pruebas suficientes para atribuirla a un actor de amenazas específico.

En conjunto, los hallazgos apuntan a una campaña coordinada y multiplataforma que combina ingeniería social, suplantación institucional y malware móvil para ampliar el alcance de la vigilancia digital.

