Dracarys Mobile -haittaohjelma

Kyberrikolliset käyttävät aseistettua versiota laillisesta viestisovelluksesta Signal levittääkseen voimakasta Android-spyware-uhkaa, joka tunnetaan nimellä Dracarys. Uhkaa käytetään ensisijaisesti Intiassa, Pakistanissa, Isossa-Britanniassa ja Uudessa-Seelannissa sijaitseviin kohteisiin. Dracarysin uhka tuotiin ensimmäisen kerran esiin Metan (entinen Facebook) julkaisemassa kontradiktorisessa uhkaraportissa. Tutkijat julkaisivat syvällisemmän raportin Dracarysista.

Infosec-asiantuntijat pitävät uhkana Bitter APT (Advanced Persistent Threat) -ryhmää. Hakkerit toimittivat Dracarys Android -haittaohjelman uhrien laitteisiin erityisesti muotoillun tietojenkalastelusivun kautta, joka oli suunniteltu jäljittelemään laillista Signal-latausportaalia. Käytetty verkkotunnus oli "signalpremium(dot)com". Hyödyntämällä Signal-sovelluksen avointa lähdekoodia, Bitter APT -hakkerit loivat version, joka on säilyttänyt kaikki tavalliset toiminnallisuudet ja ominaisuudet, joita käyttäjät sovellukselta odottavat. Muokattu versio sisälsi kuitenkin myös Dracarus-haittaohjelman lähdekoodiinsa.

Kun mobiilihaittaohjelmauhka on todettu laitteeseen, se pystyy poimimaan laajan valikoiman tietoja samalla kun se vakoilee kohdetta. Aktivoinnin jälkeen Dracarys yrittää ensin muodostaa yhteyden Firebase-palvelimeen saadakseen ohjeet kerättävän tiedon tyypeistä. Uhka voi kerätä yhteystietoluetteloita, SMS-tietoja, GPS-sijaintia, tiedostoja, luettelon kaikista asennetuista sovelluksista, puhelulokeja jne. Vakoiluohjelmat voivat myös kaapata kuvakaappauksia ja tehdä äänitallenteita. Kaikki kerätyt tiedot suodatetaan sitten operaation Command-and-Control-palvelimelle.