Dracarys Mobile Malware

Киберпрестъпниците използват въоръжена версия на легитимното приложение за съобщения Signal, за да разпространят мощна заплаха от шпионски софтуер за Android, известна като Dracarys. Заплахата се използва предимно срещу цели, разположени в Индия, Пакистан, Обединеното кралство и Нова Зеландия. Заплахата Dracarys беше изведена на бял свят за първи път в доклад за състезателна заплаха, публикуван от Meta (преди Facebook). По-задълбочен доклад за Dracarys беше публикуван от изследователи.

Експертите по информационна сигурност приписват заплахата на групата Bitter APT (Advanced Persistent Threat). Хакерите доставят зловредния софтуер Dracarys Android на устройствата на своите жертви чрез специално създадена фишинг страница, предназначена да имитира легитимния портал за изтегляне на Signal. Използваният домейн беше „signalpremium(dot)com“. Възползвайки се от кода с отворен код на приложението Signal, хакерите на Bitter APT създадоха версия, която запазва всички обичайни функции и функции, които потребителите очакват от приложението. Въпреки това, модифицираната версия също включва злонамерения софтуер Dracarus в изходния си код.

Веднъж установена на устройството, заплахата от мобилен злонамерен софтуер е способна да извлича широка гама от данни, като същевременно шпионира целта. След като бъде активиран, Dracarys първо ще се опита да установи връзка със сървър на Firebase, за да получи инструкции какъв тип данни да събира. Заплахата може да събира списъци с контакти, SMS данни, GPS позиция, файлове, списък с всички инсталирани приложения, регистър на обажданията и т.н. Шпионският софтуер също може да заснема екранни снимки и да прави аудио записи. След това всички събрани данни се ексфилтрират към командно-контролния сървър на операцията.