Malware móvil GhostChat
GhostChat es una aplicación maliciosa para Android que se presenta como una plataforma de chat o citas, pero opera en secreto como software espía. Su objetivo principal es recopilar información confidencial de los dispositivos infectados. Los análisis indican que los usuarios de Pakistán son los principales objetivos. Se recomienda encarecidamente la eliminación inmediata si se descubre la aplicación en un dispositivo, ya que su presencia continua aumenta significativamente el riesgo de robo de datos y una vulneración más amplia.
Tabla de contenido
Incorporación engañosa y autenticación falsa
Tras la instalación, GhostChat solicita intensivamente permisos para varios dispositivos. Una vez concedidos, los usuarios ven una interfaz de inicio de sesión que parece requerir credenciales válidas. Este proceso es totalmente fraudulento, ya que los supuestos datos de autenticación están codificados en la aplicación en lugar de verificarse mediante un servicio backend legítimo. El paso de inicio de sesión existe únicamente para crear una ilusión de autenticidad.
Interacción manipuladora del usuario y redirección de WhatsApp
Tras el inicio de sesión falso, la aplicación muestra numerosos perfiles femeninos con imágenes, nombres y edades. Ninguno de estos perfiles es realmente accesible. Al intentar interactuar con ellos, se solicita a los usuarios que introduzcan un código de desbloqueo. Cada perfil está vinculado a un número específico de WhatsApp, y al introducir el código, la aplicación abre WhatsApp automáticamente e inicia una conversación con ese número, lo que facilita las estafas románticas y las actividades de ingeniería social.
Vigilancia silenciosa y exfiltración continua de datos
GhostChat realiza operaciones maliciosas en segundo plano desde su inicio, incluso antes de iniciar sesión. Monitorea la actividad del dispositivo y transmite la información recopilada a un servidor remoto de comando y control (C2). El malware escanea periódicamente el dispositivo en busca de nuevo contenido, carga fotos automáticamente y comprueba si hay documentos recién creados o almacenados cada cinco minutos. El alcance de los datos recopilados incluye:
Identificadores de dispositivos, listas de contactos, imágenes y documentos como archivos PDF, Word, Excel y PowerPoint
Infraestructura compartida y cadena de infección de escritorios
La infraestructura C2 de GhostChat también se utiliza para distribuir componentes maliciosos adicionales. Entre ellos se encuentra un archivo DLL asociado con ClickFix, una técnica diseñada para engañar a los usuarios para que ejecuten malware ellos mismos siguiendo instrucciones falsas. Este método extiende la amenaza más allá de los dispositivos móviles y permite la infección de sistemas de escritorio.
Abuso de identidades confiables mediante alertas falsas
Las campañas de ClickFix vinculadas a GhostChat se basan en sitios web engañosos y advertencias de seguridad falsas. En casos observados, los atacantes se hacen pasar por el Equipo de Respuesta a Emergencias Informáticas de Pakistán, mostrando mensajes alarmantes sobre supuestas amenazas a la infraestructura nacional y las redes gubernamentales. Se insta a las víctimas a hacer clic en el botón "Actualizar", que inicia la descarga y ejecución de la DLL maliciosa. Una vez activa, la DLL informa a un servidor de comandos sobre detalles del sistema, como el nombre del equipo y el nombre de usuario, busca repetidamente instrucciones adicionales y ejecuta los comandos recibidos mediante PowerShell.
Estafas de robo de cuentas de WhatsApp mediante códigos QR
Los actores de amenazas también realizan estafas móviles dirigidas a usuarios de WhatsApp. Las víctimas son atraídas a un sitio web fraudulento que afirma estar afiliado al Ministerio de Defensa de Pakistán y se les anima a unirse a una comunidad falsa. Al escanear un código QR, la cuenta de WhatsApp de la víctima se vincula a WhatsApp Web o Desktop, bajo el control del atacante. Esto otorga acceso completo a los chats y contactos, lo que permite el robo de la cuenta sin que el usuario se dé cuenta inmediatamente.
Estrategia de distribución y mitigación de riesgos
GhostChat se distribuye exclusivamente fuera de las tiendas oficiales de aplicaciones. Se promociona como una aplicación de citas o mensajería y recurre a tácticas de estafa romántica para persuadir a los usuarios a instalar manualmente el APK y habilitar la instalación desde fuentes desconocidas. Una vez instalado, el malware solicita permisos inmediatamente e inicia actividades de espionaje encubiertas. Estas campañas coordinadas combinan ingeniería social, spyware y secuestro de cuentas para comprometer entornos móviles y de escritorio. La vigilancia contra enlaces no solicitados, ventanas emergentes alarmantes, aplicaciones no oficiales y códigos QR inesperados sigue siendo fundamental para proteger los datos personales y las cuentas de los usuarios.
