Dracarys Mobile Malware
مجرمان سایبری از نسخه تسلیحاتی شده برنامه پیام رسانی قانونی Signal برای گسترش یک تهدید جاسوس افزار قدرتمند اندرویدی به نام Dracarys استفاده می کنند. این تهدید عمدتاً علیه اهداف واقع در هند، پاکستان، بریتانیا و نیوزیلند اعمال می شود. تهدید Dracarys اولین بار در یک گزارش تهدید متخاصم که توسط متا (فیسبوک سابق) منتشر شد، آشکار شد. گزارش عمیق تری در مورد Dracarys توسط محققان منتشر شد.
کارشناسان infosec این تهدید را به گروه APT تلخ (تهدید پایدار پیشرفته) نسبت می دهند. هکرها بدافزار اندروید Dracarys را از طریق یک صفحه فیشینگ ساخته شده ویژه که برای تقلید از پورتال دانلود قانونی سیگنال طراحی شده بود، به دستگاه های قربانیان خود تحویل دادند. دامنه مورد استفاده 'signalpremium(dot)com' بود. هکرهای Bitter APT با بهرهگیری از کد منبع باز برنامه سیگنال، نسخهای را ایجاد کردند که تمام عملکردها و ویژگیهای معمولی را که کاربران از برنامه انتظار دارند، حفظ کرده است. با این حال، نسخه اصلاح شده بدافزار Dracarus را نیز در کد منبع خود گنجانده است.
پس از استقرار در دستگاه، تهدید بدافزار تلفن همراه قادر به استخراج طیف گسترده ای از داده ها و در عین حال جاسوسی از هدف است. پس از فعالسازی، Dracarys ابتدا سعی میکند با یک سرور Firebase ارتباط برقرار کند تا دستورالعملهایی درباره نوع دادههایی که باید جمعآوری شود را دریافت کند. این تهدید میتواند فهرست مخاطبین، دادههای پیامک، موقعیت GPS، فایلها، فهرستی از همه برنامههای نصب شده، گزارش تماسها و غیره را جمعآوری کند. این نرمافزار جاسوسی همچنین میتواند اسکرینشات بگیرد و صدا را ضبط کند. سپس تمام داده های جمع آوری شده به سرور فرماندهی و کنترل عملیات استخراج می شود.