Dracarys Mobile Malware

Els cibercriminals estan utilitzant una versió armada de l'aplicació de missatgeria legítima Signal per difondre una potent amenaça de programari espia d'Android coneguda com Dracarys. L'amenaça s'està aprofitant principalment contra objectius ubicats a l'Índia, el Pakistan, el Regne Unit i Nova Zelanda. L'amenaça Dracarys es va posar a la llum per primera vegada en un informe d'amenaça adversària publicat per Meta (anteriorment Facebook). Els investigadors van publicar un informe més aprofundit sobre Dracarys.

Els experts d'infosec atribueixen l'amenaça al grup Bitter APT (Advanced Persistent Threat). Els pirates informàtics van lliurar el programari maliciós Dracarys Android als dispositius de les seves víctimes mitjançant una pàgina de pesca especialment dissenyada per imitar el portal legítim de descàrregues de Signal. El domini utilitzat era "signalpremium(dot)com". Aprofitant el codi de codi obert de l'aplicació Signal, els pirates informàtics de Bitter APT van crear una versió que ha conservat totes les funcionalitats i característiques habituals que els usuaris esperen de l'aplicació. Tanmateix, la versió modificada també incloïa el programari maliciós Dracarus al seu codi font.

Un cop establerta al dispositiu, l'amenaça de programari maliciós mòbil és capaç d'extreure una àmplia gamma de dades, alhora que espiar l'objectiu. Després d'activar-se, Dracarys intentarà primer establir una connexió amb un servidor de Firebase per rebre instruccions sobre quin tipus de dades cal recollir. L'amenaça pot recollir llistes de contactes, dades d'SMS, posició GPS, fitxers, una llista de totes les aplicacions instal·lades, registres de trucades, etc. El programari espia també pot capturar captures de pantalla i fer enregistraments d'àudio. Totes les dades recollides s'exfiltraran al servidor d'ordres i control de l'operació.