Κακόβουλο λογισμικό Dracarys Mobile

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν μια οπλισμένη έκδοση της νόμιμης εφαρμογής ανταλλαγής μηνυμάτων Signal για να διαδώσουν μια ισχυρή απειλή λογισμικού κατασκοπείας Android γνωστή ως Dracarys. Η απειλή χρησιμοποιείται κυρίως κατά στόχων που βρίσκονται στην Ινδία, το Πακιστάν, το Ηνωμένο Βασίλειο και τη Νέα Ζηλανδία. Η απειλή του Dracarys τέθηκε για πρώτη φορά στο φως σε μια αναφορά αντιθετικών απειλών που κυκλοφόρησε από τη Meta (πρώην Facebook). Μια πιο εμπεριστατωμένη αναφορά για το Dracarys δημοσιεύτηκε από ερευνητές.

Οι ειδικοί της infosec αποδίδουν την απειλή στην ομάδα Bitter APT (Advanced Persistent Threat). Οι χάκερ παρέδωσαν το κακόβουλο λογισμικό Dracarys Android στις συσκευές των θυμάτων τους μέσω μιας ειδικά διαμορφωμένης σελίδας phishing που έχει σχεδιαστεί για να μιμείται τη νόμιμη πύλη λήψης Signal. Ο τομέας που χρησιμοποιήθηκε ήταν "signalpremium(dot)com". Εκμεταλλευόμενοι τον κώδικα ανοιχτού κώδικα της εφαρμογής Signal, οι χάκερ Bitter APT δημιούργησαν μια έκδοση που έχει διατηρήσει όλες τις συνήθεις λειτουργίες και δυνατότητες που περιμένουν οι χρήστες από την εφαρμογή. Ωστόσο, η τροποποιημένη έκδοση συμπεριέλαβε επίσης το κακόβουλο λογισμικό Dracarus στον πηγαίο κώδικα του.

Μόλις εγκατασταθεί στη συσκευή, η απειλή κακόβουλου λογισμικού για κινητά είναι ικανή να εξάγει ένα ευρύ φάσμα δεδομένων, ενώ παράλληλα κατασκοπεύει τον στόχο. Αφού ενεργοποιηθεί, το Dracarys θα προσπαθήσει πρώτα να δημιουργήσει μια σύνδεση με έναν διακομιστή Firebase για να λάβει οδηγίες σχετικά με το είδος των δεδομένων που θα συλλέξει. Η απειλή μπορεί να συλλέξει λίστες επαφών, δεδομένα SMS, θέση GPS, αρχεία, μια λίστα με όλες τις εγκατεστημένες εφαρμογές, αρχεία καταγραφής κλήσεων κ.λπ. Το λογισμικό υποκλοπής μπορεί επίσης να καταγράψει στιγμιότυπα οθόνης και να κάνει εγγραφές ήχου. Στη συνέχεια, όλα τα δεδομένα που συλλέγονται διοχετεύονται στον διακομιστή Command-and-Control της λειτουργίας.