Chrysaor: el spyware de élite en Android y cómo protegerte

  • Chrysaor, vinculado a NSO y Pegasus, roba datos, graba audio y captura pantallas con control remoto sigiloso.
  • Se distribuye fuera de Google Play y busca persistir con exploits de root y solicitudes de permisos agresivas.
  • Google detectó pocas infecciones y deshabilitó el malware en los dispositivos afectados, pero el riesgo persiste.
  • Instalar desde fuentes oficiales, actualizar y usar Play Protect y buenas prácticas reduce drásticamente la exposición.
Rocío G. RubioActualizado el

3 minutos

Chrysaor malware espía en Android

El malware se ha convertido en la principal pesadilla de muchas compañías. Google, en su lucha por proteger los dispositivos, se enfrenta a un nuevo malware espía detectado en sus dispositivos: Chrysaor. Ha sido descubierto por la empresa de seguridad Lookout y se trata de uno de los software de espionaje más elaborados descubiertos en los últimos tiempos. El ciberatacador puede acceder al correo electrónico del dispositivo, el historial de navegación, mensajes de las distintas aplicaciones de mensajería (WhatsApp, Skype, Facebook, Twitter…) e incluso ver la pantalla, escuchar o grabar lo que ocurre en el teléfono.

Google ha explicado que Chrysaor ha sido creada por NSO Group Technologies, una compañía dedicada a la creación y venta de software de este tipo y de infraestructura en ataques dirigidos, y que está relacionado con el software espía Pegasus, descubierto por primera vez en el sistema operativo de Apple. Chrysaor llegaba a los dispositivos a través de aplicaciones fuera de Google Play y funciona instalándose en el teléfono y tomando así control remoto del mismo. Cuando se instala, la aplicación utiliza exploits para obtener privilegios dentro del teléfono. En Android, diversas investigaciones han asociado a esta familia con técnicas de escalada de privilegios como las agrupadas bajo Framaroot; si no logra acceso de superusuario, puede intentar solicitar permisos agresivamente para exfiltrar datos. Además, se han observado tácticas de persistencia avanzadas, como ubicarse en áreas del sistema y deshabilitar actualizaciones o notificaciones de red para dificultar el análisis.

¿Qué información roba y cómo opera Chrysaor?

Smartphones Android NYPD legalidad privacidad funciones
Artículo relacionado:
D-Vasive en Android: control total de cámara, micrófono y permisos con ajustes nativos

Desde Mountain View explican cómo actúa Chrysaor, utilizando distintas técnicas para la recogida de datos de usuario. El malware permite recopilar datos que incluyen SMS, registros de llamadas, historial del navegador, calendario, correos electrónicos o mensajes de Twitter, Facebook, WhatsApp, Skype o Viber, entre otros. Chrysaor también actúa realizando capturas de pantalla del dispositivo y a través del keylogging, es decir, graba lo que se escribe con ese terminal. Otras técnicas de espionaje utilizadas por el malware son, por ejemplo, el Roomtap, el acceso al micrófono del teléfono para escuchar las conversaciones mantenidas, por lo que conviene vigilar las aplicaciones con demasiados permisos.

Este spyware ha sido diseñado para el control encubierto por parte de un operador remoto. Entre sus capacidades avanzadas destacan funciones como contestar llamadas de forma silenciosa y mantenerse en segundo plano para escuchar el entorno, bloqueando la pantalla para no levantar sospechas hasta que finalice la llamada. Debido a esta combinación de módulos, es viable monitorizar comunicaciones cifradas capturando pulsaciones y audio en origen y destino, antes y después del cifrado en las aplicaciones. Por ello, conviene proteger tus aplicaciones en terminales con información sensible.

La aplicación, además, para evitar ser descubierta, es capaz de autodestruirse. Si no puede interactuar con el servidor en 60 días, lo que se traduce como que ha sido descubierta en ese terminal o se ha aislado, se elimina por sí sola del teléfono infectado. También puede recibir un comando de desinstalación remota si el atacante lo considera conveniente.

Malware en Android

Sin embargo, desde Mountain View aseguran que no hay de qué preocuparse porque hasta el momento sólo tres docenas de dispositivos Android han sido afectadas por el software malicioso, de los más de 1,4 mil millones de dispositivos Android activos en circulación. La mayoría de los afectados han sido en Israel, Georgia y México pero también en Turquía, Kenia, Ucrania o Nigeria, entre otros. Google asegura que los usuarios de los 30 dispositivos afectados ya han sido notificados y Chrysaor ha sido inhabilitado de dichos terminales. Además, se ha reunido información de los dispositivos afectados para proteger mejor al resto de los usuarios de Android.

Vías de infección, persistencia y relación con Pegasus

Chrysaor no se distribuyó a través de Google Play; empleó ingeniería social y descargas de APKs externas que simulaban ser utilidades o actualizaciones. Tras lograr ejecutarse, intentaba adquirir privilegios elevados mediante exploits de root conocidos y, si lo conseguía, podía persistir incluso tras restablecer a fábrica al ubicarse en zonas sensibles del sistema y alterar ajustes como las actualizaciones automáticas o determinadas notificaciones de red. Este riesgo se ve asociado a tarjetas SD y permisos mal gestionados. Si no alcanzaba el root, su plan B consistía en solicitar permisos extensivos (acceso a almacenamiento, SMS, superposición de pantalla) para seguir recabando información con eficacia.

Este comportamiento emparenta a Chrysaor con Pegasus, su contraparte asociada al ecosistema iOS. Aunque cada plataforma requiere técnicas diferentes, ambas comparten el enfoque modular, la evasión forense, la capacidad de operar sin interacción del usuario en determinadas fases y módulos de vigilancia total (cámara, micrófono, ubicaciones, mensajería, correo). En el ámbito móvil también se han documentado cadenas de ataque de cero clic y vectores a través de funciones de llamadas o archivos multimedia, lo que evidencia un panorama en el que los exploits de alta complejidad conviven con la ingeniería social tradicional. Este panorama coincide con informes sobre la proliferación de aplicaciones maliciosas en el ecosistema.

Alcance real y por qué no conviene bajar la guardia

Aunque el número de infecciones detectadas por Google fue muy reducido en comparación con el parque Android global, la naturaleza de Chrysaor encaja en el ciberespionaje dirigido: casos puntuales, alto sigilo y objetivos de valor (periodistas, activistas, responsables públicos o perfiles con acceso a información sensible). Su bajo ruido mediático no implica menor peligrosidad; al contrario, su diseño busca pasar desapercibido el mayor tiempo posible y maximizar la recolección de datos. Si te preocupa la posibilidad, consulta cómo descubrir si tu Android está infectado.

Además, la familia ha demostrado elasticidad operativa: si el intento de root falla, degrada su modo de funcionamiento para seguir recopilando datos con los permisos disponibles; si se ve comprometida, puede autodestruirse; y si pierde el canal con su servidor de mando y control, se elimina al cabo de un periodo predeterminado para no dejar rastro. En estos casos los antivirus Android convencionales pueden no ser suficientes.

Recomendaciones prácticas para proteger tu Android

Google publicó varias pautas que conviene seguir frente a Chrysaor o amenazas similares. Estas buenas prácticas de seguridad móvil, junto con las medidas recomendadas, reducen drásticamente el riesgo:

  • Instala apps solo desde fuentes oficiales y de confianza (Google Play) y mantén activada la Verificación de apps/Play Protect.
  • Actualiza siempre el sistema y las aplicaciones para contar con los últimos parches de seguridad.
  • Habilita un bloqueo de pantalla seguro (PIN, contraseña, patrón o biometría) y revisa permisos de las apps con frecuencia.
  • Evita abrir enlaces sospechosos en SMS, email o mensajería. Ante la duda, verifica la URL desde un equipo aislado o no la abras.
  • Considera un reinicio diario del dispositivo para dificultar la persistencia de ciertos componentes de espionaje.
  • Si gestionas información sensible, valora usar una VPN fiable y navegadores alternativos que endurezcan la superficie frente a exploits web.
  • En entornos de alto riesgo, emplea soluciones reputadas de seguridad móvil que detecten signos de root, superposición de pantalla y comportamientos anómalos.

¿Cómo saber si estás afectado y qué hacer?

Detectar manualmente un spyware tan sofisticado es extremadamente difícil. En muchos casos, la víctima no percibe comportamientos extraños. Google ha llegado a notificar directamente a usuarios potencialmente afectados e inhabilitar las apps maliciosas cuando ha sido posible. Si sospechas de una infección:

  • Revisa en Ajustes las instalaciones desde orígenes desconocidos y el listado de apps con permisos sensibles (accesibilidad, superposición, SMS, micrófono, cámara).
  • Pasa un escaneo con una suite de seguridad de confianza y comprueba si hay señales de root o cambios de sistema no autorizados.
  • Realiza copia de seguridad y aplica un restablecimiento completo; si existe persistencia a nivel de sistema, busca asistencia profesional.
  • En perfiles de riesgo, separa tareas: utiliza un dispositivo secundario endurecido para comunicaciones críticas y minimiza la exposición.

La lección que deja Chrysaor es clara: aunque su alcance fue limitado, su grado de sofisticación, la relación con NSO/Pegasus y las capacidades de espionaje integral demuestran que el móvil es un objetivo prioritario. Con hábitos de instalación prudentes, actualizaciones al día y controles de seguridad activos, el riesgo se reduce de forma notable sin renunciar a la comodidad del ecosistema Android.