Dracarys Mobile Malware

פושעי סייבר משתמשים בגרסת נשק של אפליקציית ההודעות הלגיטימית Signal כדי להפיץ איום חזק של תוכנת ריגול אנדרואיד המכונה Dracarys. האיום ממונף בעיקר נגד מטרות הממוקמות בהודו, פקיסטן, בריטניה וניו זילנד. איום דראקאריס הובא לראשונה לאור בדו"ח איום יריב שפרסמה מטה (לשעבר פייסבוק). דוח מעמיק יותר על Dracarys פורסם על ידי חוקרים.

מומחי ה-infosec מייחסים את האיום לקבוצת Bitter APT (Advanced Persistent Threat). ההאקרים העבירו את תוכנת האנדרואיד של Dracarys למכשירים של הקורבנות שלהם באמצעות דף דיוג בעל מבנה מיוחד שנועד לחקות את פורטל הורדות הסיגנל הלגיטימי. הדומיין בשימוש היה 'signalpremium(dot)com'. על ידי ניצול קוד הקוד הפתוח של אפליקציית Signal, ההאקרים Bitter APT יצרו גרסה ששמרה על כל הפונקציונליות והתכונות הרגילות שהמשתמשים מצפים מהאפליקציה. עם זאת, הגרסה השונה כללה גם את התוכנה הזדונית של Dracarus בקוד המקור שלה.

לאחר שהוקם במכשיר, האיום של תוכנות זדוניות ניידות מסוגל לחלץ מגוון רחב של נתונים, תוך ריגול אחר המטרה. לאחר ההפעלה, Dracarys ינסה תחילה ליצור חיבור עם שרת Firebase כדי לקבל הנחיות לגבי סוג הנתונים לאסוף. האיום יכול לקצור רשימות אנשי קשר, נתוני SMS, מיקום GPS, קבצים, רשימה של כל היישומים המותקנים, יומני שיחות וכו'. תוכנת הריגול יכולה גם לצלם צילומי מסך ולבצע הקלטות אודיו. לאחר מכן, כל הנתונים שנאספו עוברים לשרת ה-Command-and-Control של הפעולה.