San Valentín es la excusa perfecta para que muchas personas busquen nuevas conexiones desde el celular y ahí es donde los hackers intentan colarse con promesas románticas. En este contexto ESET advirtió sobre una campaña de espionaje en Android que usa una app maliciosa, llamada GhostChat por los investigadores, disfrazada de plataforma de chat para atraer víctimas con una dinámica tipo app de citas.
ESET Research uncovered GhostChat, an Android spyware campaign using romance-scam tactics to target individuals in Pakistan. The campaign uses fake profiles (likely operated via WhatsApp), while the spyware exfiltrates victim data. https://t.co/mzGT9qZgmE pic.twitter.com/9tJokC8xUU
— Virus Bulletin (@virusbtn) January 29, 2026
La app muestra perfiles femeninos y simula que todo es parte de un servicio de citas, pero su función real es habilitar vigilancia encubierta para monitorear el teléfono y filtrar datos de forma continua mientras permanezca instalada.
Una de las señales más manipuladoras es el supuesto acceso exclusivo, ya que los perfiles aparecen bloqueados y para “desbloquearlos” se solicita un código, una táctica de ingeniería social descrita por ESET para crear sensación de privilegio y urgencia.
Suscríbete a nuestro canal de Telegram y lleva la información en tus manos.
Cómo operan hackers con apps de citas falsas en Android
El ataque empieza cuando la víctima instala la aplicación maliciosa que se hace pasar por una app legítima de chat o citas, y ESET la identificó como GhostChat dentro de esta campaña. En el informe de ESET se indica que no hay certeza sobre el método exacto de distribución, pero el gancho del “código” encaja con la idea de exclusividad usada como señuelo.
ESET detalla que GhostChat no estuvo disponible en Google Play, por lo que la instalación fue manual y requirió que el usuario habilitara la opción para instalar aplicaciones desde fuentes desconocidas. Ese paso reduce barreras de seguridad del sistema y facilita que una app maliciosa obtenga permisos y se mantenga activa.
Al ejecutarse, GhostChat solicita permisos y después muestra una pantalla de inicio de sesión para que la víctima introduzca credenciales. Una vez dentro, presenta 14 perfiles femeninos con foto, nombre y edad, todos marcados como “Bloqueados”, y al tocarlos pide un código de desbloqueo. ESET explica que esos códigos están hardcodeados y no se validan de forma remota, lo que sugiere que se comparten con la víctima como parte del engaño.
Cuando se introduce el código correcto, la app redirige a WhatsApp para abrir una conversación con un número asignado al perfil. ESET informó que los números vinculados tenían código de país de Pakistán +92 y estaban integrados en la app, sin posibilidad de modificarse a distancia.
La conversación por WhatsApp ayuda a sostener la ilusión, pero el spyware ya está trabajando en segundo plano. ESET afirma que GhostChat supervisa la actividad del dispositivo y extrae datos confidenciales a un servidor de comando y control incluso mientras el usuario apenas interactúa con la interfaz.
Entre sus capacidades, ESET describe que GhostChat configura un observador de contenidos para vigilar imágenes recién creadas y subirlas conforme aparecen. Además, programa una tarea periódica que busca documentos nuevos cada cinco minutos, lo que sostiene la vigilancia continua y la recolección persistente.
Google está informado de la app espía
ESET también señala que no hay pruebas suficientes para atribuirla a un actor específico. Aun con esa falta de atribución, el patrón es claro, un señuelo emocional, una instalación fuera de tienda y permisos amplios que terminan en espionaje.
ESET indicó que, tras compartir los hallazgos con Google como socio de App Defense Alliance, los usuarios de Android están protegidos contra versiones conocidas mediante Google Play Protect, que viene activado por defecto en dispositivos con Google Play Services. Por eso vale la pena mantener esas protecciones activas y evitar deshabilitarlas por conveniencia.
Si ya instalaste una app sospechosa, actúa rápido, desinstálala, revisa y revoca permisos otorgados, y cambia contraseñas si llegaste a escribir credenciales dentro de la aplicación. ESET advierte que GhostChat puede filtrar datos de forma continua mientras permanezca instalada, así que el tiempo de reacción importa.
Adn Noticias. Te Hablamos con la verdad. Suscríbete a nuestro canal de WhatsApp y lleva la información en la palma de tu mano.
