Dracarys Mobile Malware

Kyberzločinci používají zbraňovou verzi legitimní aplikace pro zasílání zpráv Signal k šíření silné spywarové hrozby pro Android známé jako Dracarys. Hrozba je primárně využívána proti cílům umístěným v Indii, Pákistánu, Velké Británii a na Novém Zélandu. Hrozba Dracarys byla poprvé odhalena ve zprávě o nepřátelské hrozbě vydané společností Meta (dříve Facebook). Výzkumníci zveřejnili podrobnější zprávu o Dracarys.

Odborníci z infosec přisuzují hrozbu skupině Bitter APT (Advanced Persistent Threat). Hackeři doručili malware Dracarys Android do zařízení svých obětí prostřednictvím speciálně vytvořené phishingové stránky navržené tak, aby napodobovala legitimní portál pro stahování Signal. Použitá doména byla 'signalpremium(tečka)com.' Využitím open-source kódu aplikace Signal vytvořili hackeři Bitter APT verzi, která si zachovala všechny obvyklé funkce a vlastnosti, které uživatelé od aplikace očekávají. Upravená verze však ve svém zdrojovém kódu obsahovala i malware Dracarus.

Jakmile se hrozba mobilního malwaru uchytí v zařízení, je schopna extrahovat širokou škálu dat a zároveň špehovat cíl. Po aktivaci se Dracarys nejprve pokusí navázat spojení se serverem Firebase, aby obdržel pokyny o tom, jaký typ dat má shromažďovat. Hrozba může sklízet seznamy kontaktů, SMS data, polohu GPS, soubory, seznam všech nainstalovaných aplikací, protokoly hovorů atd. Spyware také dokáže zachytit snímky obrazovky a pořizovat zvukové nahrávky. Všechna shromážděná data jsou poté exfiltrována na server Command-and-Control operace.