Dracarys Mobile Malware

مجرمان سایبری از نسخه تسلیحاتی شده برنامه پیام رسانی قانونی Signal برای گسترش یک تهدید جاسوس افزار قدرتمند اندرویدی به نام Dracarys استفاده می کنند. این تهدید عمدتاً علیه اهداف واقع در هند، پاکستان، بریتانیا و نیوزیلند اعمال می شود. تهدید Dracarys اولین بار در یک گزارش تهدید متخاصم که توسط متا (فیسبوک سابق) منتشر شد، آشکار شد. گزارش عمیق تری در مورد Dracarys توسط محققان منتشر شد.

کارشناسان infosec این تهدید را به گروه APT تلخ (تهدید پایدار پیشرفته) نسبت می دهند. هکرها بدافزار اندروید Dracarys را از طریق یک صفحه فیشینگ ساخته شده ویژه که برای تقلید از پورتال دانلود قانونی سیگنال طراحی شده بود، به دستگاه های قربانیان خود تحویل دادند. دامنه مورد استفاده 'signalpremium(dot)com' بود. هکرهای Bitter APT با بهره‌گیری از کد منبع باز برنامه سیگنال، نسخه‌ای را ایجاد کردند که تمام عملکردها و ویژگی‌های معمولی را که کاربران از برنامه انتظار دارند، حفظ کرده است. با این حال، نسخه اصلاح شده بدافزار Dracarus را نیز در کد منبع خود گنجانده است.

پس از استقرار در دستگاه، تهدید بدافزار تلفن همراه قادر به استخراج طیف گسترده ای از داده ها و در عین حال جاسوسی از هدف است. پس از فعال‌سازی، Dracarys ابتدا سعی می‌کند با یک سرور Firebase ارتباط برقرار کند تا دستورالعمل‌هایی درباره نوع داده‌هایی که باید جمع‌آوری شود را دریافت کند. این تهدید می‌تواند فهرست مخاطبین، داده‌های پیامک، موقعیت GPS، فایل‌ها، فهرستی از همه برنامه‌های نصب شده، گزارش تماس‌ها و غیره را جمع‌آوری کند. این نرم‌افزار جاسوسی همچنین می‌تواند اسکرین‌شات بگیرد و صدا را ضبط کند. سپس تمام داده های جمع آوری شده به سرور فرماندهی و کنترل عملیات استخراج می شود.