`; document.body.appendChild(modalWrapper); let figcaption = modalWrapper.querySelector(«figcaption»); if(figcaption) figcaption.style.display=»none»; modalWrapper.querySelector(«.s-multimedia__close-modal»).addEventListener(«click»,()=>{modalWrapper.remove(); e.style.display=»flex»; if(caption) caption.style.display=»block»;});})})});});
El amor puede ser peligroso, y más cuando se acerca San Valentín. Y es que se ha descubierto una campaña espía que utiliza una aplicación maliciosa para Android, bajo la apariencia de un chat. Cualquiera diría que es una de tantas aplicaciones de citas, pero hay mucho más detrás en esta estrategia de ciberdelincuentes.
`; document.body.appendChild(modalWrapper); let figcaption = modalWrapper.querySelector(«figcaption»); if(figcaption) figcaption.style.display=»none»; modalWrapper.querySelector(«.s-multimedia__close-modal»).addEventListener(«click»,()=>{modalWrapper.remove(); e.style.display=»flex»; if(caption) caption.style.display=»block»;});})})});});
Para interactuar con mujeres se envía un código que abre la puerta para el fraude. (Foto: Difusión)
`; document.body.appendChild(modalWrapper); let figcaption = modalWrapper.querySelector(«figcaption»); if(figcaption) figcaption.style.display=»none»; modalWrapper.querySelector(«.s-multimedia__close-modal»).addEventListener(«click»,()=>{modalWrapper.remove(); e.style.display=»flex»; if(caption) caption.style.display=»block»;});})})});});
El ataque comienza con la distribución de la aplicación maliciosa disfrazada, que simula ser una plataforma de chat legítima llamada Dating Apps sin pago disponible en Google Play y usurpa su identidad al utilizar su icono. Tras su ejecución, GhostChat, solicita varios permisos. Una vez concedidos los permisos, la aplicación presenta al usuario una pantalla de inicio de sesión. Para continuar, las víctimas deben introducir sus credenciales de inicio de sesión.
Lo curioso es que la aplicación maliciosa nunca estuvo disponible en Google Play y requería la instalación manual por parte de los usuarios, que tenían que habilitar los permisos para instalar aplicaciones de fuentes desconocidas.
Una vez instalada la aplicación, sus operadores pueden monitorizar y extraer datos confidenciales del dispositivo de la víctima. Aunque la campaña parece estar centrada en Pakistán, desde ESET comentan que carecen de pruebas suficientes para atribuirla a un actor de amenazas específico. “GhostChat, nunca estuvo disponible en Google Play ya que como socio de App Defense Alliance, ESET compartes sus hallazgos con Google”, agrega Lopez de ESET.
Una vez iniciada la sesión, a las víctimas se les presenta una selección de 14 perfiles femeninos, cada uno de ellos con foto, nombre y edad. Todos los perfiles están marcados como Bloqueados, y al pulsar sobre uno de ellos se pide a la víctima que introduzca un código de desbloqueo.
MIRA: Facebook permite animar tu foto de perfil con Meta AI
Estos códigos de desbloqueo están hardcodeados y no se validan de forma remota, según ESET probablemente se comparten de forma previa con la víctima. Cada perfil está vinculado a un número de WhatsApp específico con un código de país pakistaní (+92). Los números están integrados en la aplicación, y no pueden modificarse a distancia, lo que sugiere que el operador posee varias tarjetas SIM pakistaníes o tiene acceso a un proveedor externo que las vende. El uso de números locales refuerza la ilusión de que los perfiles son personas reales establecidas en Pakistán y aumenta la credibilidad de la estafa.
Al introducir el código correcto, la aplicación redirige al usuario a WhatsApp para iniciar una conversación con el número asignado, presumiblemente operado por el actor de la amenaza según ESET. Mientras la víctima interactúa con la aplicación, incluso antes de iniciar sesión, el spyware GhostChat se ejecuta en segundo plano y supervisa silenciosamente la actividad del dispositivo y filtra datos confidenciales a un servidor de C&C.
“Más allá de la exfiltración inicial, GhostChat se dedica al espionaje activo: configura un observador de contenidos para supervisar las imágenes recién creadas y las carga a medida que aparecen. Además, programa una tarea periódica que busca nuevos documentos cada cinco minutos, lo que garantiza la vigilancia continua y la recopilación de datos.”, asegura Martina de ESET.
