Dracarys Mobile Malware

Cyberkriminelle bruger en våbenversion af den legitime beskedapplikation Signal til at sprede en potent Android-spywaretrussel kendt som Dracarys. Truslen bliver primært udnyttet mod mål i Indien, Pakistan, Storbritannien og New Zealand. Dracarys-truslen blev først bragt frem i lyset i en modstridende trusselrapport udgivet af Meta (tidligere Facebook). En mere dybdegående rapport om Dracarys blev offentliggjort af forskere.

Infosec-eksperterne tilskriver truslen Bitter APT-gruppen (Advanced Persistent Threat). Hackerne leverede Dracarys Android-malware til deres ofres enheder via en specielt udformet phishing-side designet til at efterligne den legitime Signal-downloadportal. Det brugte domæne var 'signalpremium(dot)com.' Ved at udnytte open source-koden til Signal-applikationen skabte Bitter APT-hackerne en version, der har bevaret alle de sædvanlige funktioner og funktioner, som brugerne forventer af applikationen. Den modificerede version inkluderede dog også Dracarus malware i sin kildekode.

Når først den er etableret på enheden, er den mobile malware-trussel i stand til at udtrække en bred vifte af data, mens den også spionerer på målet. Efter at være blevet aktiveret, vil Dracarys først forsøge at etablere en forbindelse til en Firebase-server for at modtage instruktioner om, hvilken type data der skal indsamles. Truslen kan høste kontaktlister, SMS-data, GPS-position, filer, en liste over alle installerede applikationer, opkaldslogger osv. Spywaren kan også tage skærmbilleder og lave lydoptagelser. Alle indsamlede data eksfiltreres derefter til operationens Command-and-Control-server.