Dracarys Mobile'i pahavara

Küberkurjategijad kasutavad legitiimse sõnumsiderakenduse Signal relvastatud versiooni, et levitada tugevat Androidi nuhkvaraohtu, mida tuntakse nimega Dracarys. Ohtu kasutatakse peamiselt Indias, Pakistanis, Ühendkuningriigis ja Uus-Meremaal asuvate sihtmärkide vastu. Dracaryse oht toodi esmakordselt päevavalgele Meta (endine Facebook) avaldatud võistleva ohu aruandes. Teadlased avaldasid Dracaryse kohta põhjalikuma aruande.

Infoseci eksperdid omistavad ohu Bitter APT (Advanced Persistent Threat) rühmale. Häkkerid toimetasid Dracarys Androidi pahavara oma ohvrite seadmetesse spetsiaalselt loodud andmepüügilehe kaudu, mis oli loodud jäljendama seaduslikku Signali allalaadimisportaali. Kasutatud domeen oli "signalpremium(dot)com". Rakenduse Signal avatud lähtekoodi ära kasutades lõid Bitter APT häkkerid versiooni, mis on säilitanud kõik tavapärased funktsioonid ja funktsioonid, mida kasutajad rakenduselt ootavad. Kuid muudetud versioon sisaldas oma lähtekoodi ka Dracaruse pahavara.

Kui mobiilne pahavaraoht on seadmes tuvastatud, on see võimeline eraldama laias valikus andmeid ja luurama samal ajal sihtmärki. Pärast aktiveerimist proovib Dracarys esmalt luua ühenduse Firebase'i serveriga, et saada juhiseid selle kohta, millist tüüpi andmeid koguda. Oht võib koguda kontaktide loendeid, SMS-andmeid, GPS-i asukohta, faile, kõigi installitud rakenduste loendit, kõneloge jne. Nuhkvara võib ka jäädvustada ekraanipilte ja teha helisalvestisi. Seejärel eksfiltreeritakse kõik kogutud andmed toimingu käsu- ja juhtimisserverisse.