Spionagewerkzeug GhostChat: Gefälschte Dating-App als Köder

Aktuelle, von ESET entdeckte „GhostChat“-App-Kampagne zeigt, wie wirksam soziale Manipulation ist

[datensicherheit.de, 31.01.2026] Nicht nur im Vorfeld des diesjährigen Valentinstags am 14. Februar 2026 muss immer wieder davor gewarnt werden, dass Online-Dating ein beliebtes „Jagdgebiet für Cyberkriminelle“ darstellt – ESET-Sicherheitsforscher haben jedenfalls einen digitalen Liebesbetrug in Pakistan aufgedeckt, welcher in dieser Form völlig neu sein soll: Hacker setzten eine manipulierte „Android“-App als Köder ein, um arglose Nutzer auszuspionieren. Diese Schadsoftware tarne sich als „Dating“-App und greife sensible Daten von infizierten Mobilgeräten ab. „Unter der romantischen Fassade besteht der eigentliche Zweck der App darin, die Daten der Opfer auszuspionieren. Der raffinierte Datendiebstahl beginnt direkt nach der Installation und setzt sich fort, solange die App auf dem Gerät aktiv ist“, so der ESET-Forscher Lukas Stefanko, welcher diese Kampagne untersucht hat.

Romance-Scam via „Dating“-App als Einfallstor für Überwachung

Im Zentrum dieser Kampagne stehe eine „Android“-Spyware mit dem Namen „GhostChat“. Diese App sei nie im „Google Play Store“ verfügbar gewesen, sondern habe manuell aus Drittquellen installiert werden müssen.

• Optisch gebe sie sich als harmlose Chat-Plattform aus, tatsächlich diene sie jedoch ausschließlich der verdeckten Überwachung.

Bereits beim Start beginne „GhostChat“ im Hintergrund mit der Datenerfassung und übertrage unter anderem Gerätekennungen, Kontaktlisten sowie Dateien wie Bilder und Dokumente an einen Kommando- und Kontrollserver.

Exklusivität als psychologischer Hebel: App zeigt Opfern angeblich gesperrte weibliche Profile

Auffällig sei der gezielte psychologische Ansatz der Angreifer: „Innerhalb der App werden den Opfern angeblich gesperrte weibliche Profile angezeigt, die erst nach Eingabe spezieller Zugangscodes freigeschaltet werden können. Diese Codes sind jedoch fest im Programmcode hinterlegt und dienen ausschließlich dazu, den Eindruck von Exklusivität zu erzeugen.“

• Nach der Freischaltung leite die App die Nutzer zu „WhatsApp“ weiter. Dort beginne die Kommunikation mit den hinterlegten pakistanischen Telefonnummern. Anstelle der Angebeteten befänden sich hinter den Nummern aber die Angreifer selbst.

„Diese Schadsoftware täuscht auf eine Weise, die wir noch nie gesehen haben“, kommentiert Stefanko. Er führt weiter aus: „Die Kombination aus vorgetäuschter Verknappung und lokal wirkenden Kontakten erhöht gezielt die Glaubwürdigkeit der Masche und senkt die Hemmschwelle der Betroffenen.“

„GhostChat“-App als Teil einer größeren Spionageoperation

Die Untersuchungen zeigten zudem, dass „GhostChat“ nur ein Bestandteil einer umfassenderen Überwachungskampagne sei. Dieselbe Infrastruktur sei auch für Angriffe auf „Windows“-Rechner genutzt worden: „Hierbei verleiteten die Cyberkriminellen ihre Opfer dazu, über gefälschte Webseiten angeblicher pakistanischer Behörden selbst Schadcode auszuführen.“

• Diese Kombination aus „Social Engineering“ und Ausführung durch Betroffene würden Cybersicherheitsexperten „ClickFix“ nennen.

Parallel dazu hätten die Forscher eine weitere Angriffsmethode identifiziert, bei der die Hacker „WhatsApp“-Konten über die Geräteverknüpfungsfunktion kompromittierten. Nutzer würden dabei mittels QR-Code dazu verleitet, ihre Konten mit Geräten der Angreifer zu koppeln. Auf diese Weise erhielten die Täter Zugriff auf private Chats und Kontaktlisten, ohne das Konto selbst übernehmen zu müssen.

Sinistre Kombination aus mobiler Spyware-App, Desktop-Angriffen und Ausnutzung populärer Kommunikationsdienste

Nach Einschätzung der Forscher deutet diese Kombination aus mobiler Spyware, Desktop-Angriffen und der Ausnutzung populärer Kommunikationsdienste auf eine koordinierte, plattformübergreifende Spionagekampagne hin.

• Zwar lasse sich diese Operation bislang keinem bekannten Akteur eindeutig zuordnen – der klare Fokus auf pakistanische Nutzer sowie die Nachahmung staatlicher Institutionen spreche jedoch für ein hohes Maß an Vorbereitung und Präzision. „Android“-Nutzer mit aktivem „Google Play Protect“ seien indes geschützt.

„Der Fall verdeutlicht, wie wirkungsvoll soziale Manipulation in Verbindung mit technisch einfacher Schadsoftware sein kann“, so Stefankos Fazit und er warnt: „Hacker sind umso erfolgreicher, je besser sie ihre Opfer einschätzen können und lokale Gegebenheiten kennen!“

Weitere Informationen zum Thema:

welivesecurity by eseT, ESET Research, Lukas Stefanko, 26.01.2026
Love hacks – Wie eine Fake-App ahnungslose Nutzer in die Falle lockt / ESET-Forscher entdecken eine Android-Spyware-Kampagne, die auf Nutzer in Pakistan abzielt und Verbindungen zu einer breit angelegten Spionageoperation aufzeigt

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Lukas Stefanko – Malware Researcher

datensicherheit.de, 03.06.2025
Lost in Expectation: Bedenkliche Rolle der Dating-Apps / Mit dem Aufschwung sogenannter Dating-Apps in den Industriestaaten haben offenbar gleichzeitig die Single-Raten zugenommen

datensicherheit.de, 08.02.2024
Informations-Abschöpfung durch Dating-Apps: Gefahr insbesondere rund um den Valentinstag / Downloads von Dating-Apps steigt am Valentinstag weltweit um 17 Prozent an

datensicherheit.de, 27.09.2021
Dating-App: Sicherheitslücken für Nutzer ein Risiko / Pandemie hat Dating-Welt nachhaltig umgekrempelt