Investigadores en ciberseguridad detectaron una campaña de espionaje dirigida a dispositivos Android que utiliza como señuelo una aplicación de citas falsa. El software malicioso, denominado GhostChat, fue diseñado para aparentar ser una plataforma de chat que permite interactuar con perfiles femeninos. Sin embargo, su función principal es recopilar información del dispositivo y enviarla a un servidor remoto.
Podría interesarte: VIDEO FUERTE: Momento EXACTO en el que prenden fuego a un automóvil para bloquear la circulación
La aplicación no estuvo disponible en tiendas oficiales y requería instalación manual mediante la habilitación de permisos para fuentes externas. Tras su ejecución, solicita múltiples autorizaciones y presenta una pantalla de inicio de sesión. Las credenciales necesarias para acceder se encuentran integradas en el código de la aplicación y no son verificadas por servidores externos. Esta característica indica que los datos de acceso se distribuyen junto con el archivo de instalación como parte del mecanismo de engaño.
Una vez dentro, el usuario visualiza perfiles marcados como bloqueados, que requieren un código para habilitar la conversación. Dichos códigos también están incorporados en el código interno. Al introducirlos, la aplicación redirige a la víctima a conversaciones en WhatsApp asociadas a números con prefijo local. Mientras se desarrolla esta interacción, el programa opera en segundo plano.
El spyware ejecuta tareas de vigilancia continua. Entre los datos recolectados se encuentran identificadores del dispositivo, lista de contactos y archivos almacenados, incluyendo imágenes y documentos en distintos formatos. Además, implementa mecanismos de monitoreo periódico para detectar nuevos archivos y enviarlos al servidor de comando y control cada pocos minutos.
La investigación también identificó actividades relacionadas con esta campaña. Se hallaron archivos diseñados para descargar y ejecutar bibliotecas dinámicas en equipos de escritorio mediante instrucciones que inducen al usuario a ejecutar comandos manualmente, técnica conocida como ClickFix. En estos casos, los atacantes utilizaron sitios web falsos que simulaban pertenecer a entidades oficiales para persuadir a las víctimas de descargar archivos maliciosos.
Adicionalmente, se documentó un método que aprovecha la función de vinculación de dispositivos de WhatsApp. A través de códigos QR alojados en sitios fraudulentos, los usuarios eran inducidos a enlazar sus cuentas con dispositivos controlados por los atacantes, lo que permitía acceso a conversaciones y contactos.
También puedes leer: Cambio gratuito de placas en Jalisco: quiénes deben realizar el trámite en febrero de 2026
En conjunto, la operación combina ingeniería social, espionaje móvil y compromisos en equipos de escritorio. El caso evidencia la importancia de evitar la instalación de aplicaciones desde fuentes no verificadas, revisar los permisos otorgados y comprobar cualquier solicitud de vinculación de cuentas antes de autorizarla.
