Robar gran cantidad de los datos que registramos al comunicarnos, hacer capturas de pantalla o tomar el control de la cámara son algunas de las amenazas de Chrysaor, un dañino ‘spyware’ que acaba de ser descubierto y que tenía a los dispositivos Android como objetivo.
No es la primera vez que NSO Group, una compañía israelí que desarrolla ‘software’ destinado al espionaje, crea herramientas destinadas a entrometerse en los dispositivos inteligentes. El año pasado ya lanzó Pegasus, hermano de Chrysaor en la mitología griega, que se aprovechaba de tres vulnerabilidades ‘zero day’ (desconocidas hasta entonces) que permitían espiar iPhones.
El activista y defensor de los derechos humanos Ahmed Mansoor, que recientemente fue arrestado en su casa de Abu Dabi, según ha denunciado Amnistía Internacional, fue una de las víctimas de Pegasus, así como un periodista mexicano.
Ahora, la nueva versión ha sido descubierta en unas “pocas decenas de dispositivos Android”, según ha reconocido la propia Google. Los ‘smartphones’ afectados se localizaban en Israel, Georgia, México, Turquía y Emiratos Árabes Unidos. Ahora bien, el propio funcionamiento de Chrysaor hace difícil cuantificar su verdadero impacto, lo que lo convierte en uno de los ‘malware’ más peligrosos jamás descubiertos en Android.
Un espía capaz de autodestruirse
Chrysaor era distribuido en los ‘smartphones’ a través de un sencillo SMS. El mensaje contenía un enlace que permitía la descarga de la herramienta, oculta bajo la apariencia de una aplicación que no ha llegado a estar disponible para su descarga.
No está claro si Chrysaor también se aprovechaba de vulnerabilidades ‘zero day’, ya que se ha descubierto otra técnica usada por esta herramienta que empleaba ‘exploits’ conocidos para hacerse con el control total del sistema.
Una vez que el ‘spyware’ para Android conseguía ese control, podía hacerse con los registros y llamadas de WhatsApp, Facebook, Twitter, Skype y Gmail. Además, el peligroso ‘malware’ accedía a la cámara o al micrófono, hacía capturas de pantalla o actuaba como ‘keylogger’ registrando las pulsaciones del teclado.
No es la última capacidad dañina de este ‘spyware’: Chrysaor está incluso preparado para autodestruirse. Si el ‘malware’ detecta que va a ser descubierto, se elimina. Precisamente por eso ha logrado evitar ser detectado durante tres años.
Google ya ha informado a las víctimas del peligro de Chrysaor, ha deshabilitado la aplicación en los dispositivos y ha actualizado su servicio Verify Apps para proteger a todos los usuarios de Android.
Las primera muestras de esta versión de Pegasus para Android son de 2014, de ahí que parezca probable que tanto NSO Group como otros distribuidores de este tipo de herramientas hayan desarrollado técnicas aún más sofisticadas desde entonces. El descubrimiento de Chrysaor podría no ser el último.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
