Investigadores de ESET han descubierto una campaña de spyware en Android que utiliza tácticas de estafa romántica para dirigirse a personas en Pakistán. La operación se apoya en una aplicación maliciosa que se presenta como una plataforma de chat para que los usuarios puedan iniciar conversaciones con «chicas» específicas, perfiles falsos que probablemente se manejan a través de WhatsApp. Bajo la fachada romántica, el verdadero propósito de la aplicación, denominada GhostChat, es la exfiltración de datos de las víctimas, tanto en el primer uso como de manera continua mientras la app esté instalada en el dispositivo.
Un elemento novedoso de esta campaña es su capa de engaño. Los perfiles femeninos falsos en GhostChat aparecen como bloqueados, solicitando códigos de acceso para visualizarlos. Sin embargo, los códigos son parte del propio código de la aplicación, lo que sugiere que se busca crear la impresión de «acceso exclusivo» para las potenciales víctimas. La forma en que se distribuye la aplicación maliciosa no se ha determinado, pero se supone que esta táctica de exclusividad es parte del atractivo que incita a los usuarios a descargarla.
Además de la campaña de GhostChat, el mismo grupo de amenazas parece estar ejecutando una operación de espionaje más amplia, que incluye un ataque de ClickFix que compromete computadoras de víctimas y un ataque de vinculación de dispositivos de WhatsApp, lo que permite acceder a las cuentas de WhatsApp de las víctimas, ampliando así el alcance de la vigilancia. Estos ataques relacionados han utilizado sitios web que imitan organizaciones gubernamentales de Pakistán como señuelos.
GhostChat, identificado por ESET como Android/Spy.GhostChat.A, nunca ha estado disponible en Google Play. ESET, como socio de la App Defense Alliance, ha compartido sus hallazgos con Google. Los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este spyware gracias a Google Play Protect, que está habilitado por defecto en dispositivos Android con Google Play Services.
La campaña se enfoca en Pakistán, aunque hasta el momento no hay suficiente evidencia para atribuirla a un actor de amenazas específico. Una investigación posterior ha revelado que la misma infraestructura que se utilizó en el ataque GhostChat también involucra archivos maliciosos que pueden ejecutar comandos de PowerShell, exponiendo así la interacción entre plataformas móviles y de escritorio para llevar a cabo la espionaje.
Al analizar el flujo de ataque, se ha evidenciado que la distribución de GhostChat se lleva a cabo a través de una aplicación disfrazada que carece de la funcionalidad original del servicio de chat que pretende suplantar. Los usuarios deben habilitar los permisos para instalar aplicaciones de fuentes desconocidas, lo que permite que los operadores de la app monitoricen y exfiltren datos sensibles del dispositivo.
Una vez instalada, GhostChat utiliza tácticas de espionaje activas, configurando un observador de contenido para monitorear las imágenes que se crean y programando tareas periódicas que escanean en busca de nuevos documentos, asegurando así una vigilancia continua y recolección de datos.
En conjunto, estos descubrimientos indican una campaña de espionaje altamente dirigida y multifacética que combina ingeniería social, entrega de malware y sorveglianza en múltiples plataformas. La investigación destaca la sofisticación y el enfoque personalizado de las amenazas móviles contemporáneas, que no solo comprometen a usuarios individuales, sino que también podrían poner en riesgo la infraestructura gubernamental y social al operar en un contexto tan delicado como el de Pakistán.
Fuente: WeLiveSecurity by eSet.
