Dracarys Mobile Malware

Cyberkriminalci koriste inačicu legitimne aplikacije za razmjenu poruka Signal s oružjem za širenje moćne Android špijunske prijetnje poznate kao Dracarys. Prijetnja je prvenstveno usmjerena protiv ciljeva koji se nalaze u Indiji, Pakistanu, Velikoj Britaniji i Novom Zelandu. Dracaryjeva prijetnja je prvi put iznesena na vidjelo u kontradiktornom izvješću o prijetnji koje je objavila Meta (bivši Facebook). Istraživači su objavili detaljnije izvješće o Dracarysima.

Stručnjaci za infosec prijetnju pripisuju grupi Bitter APT (Advanced Persistent Threat). Hakeri su isporučili zlonamjerni softver Dracarys Android na uređaje svojih žrtava putem posebno izrađene phishing stranice dizajnirane da oponaša legitimni portal za preuzimanje Signala. Korištena domena bila je 'signalpremium(dot)com.' Iskoristivši open-source kod aplikacije Signal, hakeri Bitter APT-a kreirali su verziju koja je zadržala sve uobičajene funkcionalnosti i mogućnosti koje korisnici očekuju od aplikacije. Međutim, modificirana verzija također je uključivala zlonamjerni softver Dracarus u svom izvornom kodu.

Jednom kada se uspostavi na uređaju, mobilna prijetnja od zlonamjernog softvera može izvući širok raspon podataka, dok također špijunira metu. Nakon što se aktivira, Dracarys će prvo pokušati uspostaviti vezu s Firebase poslužiteljem kako bi dobio upute o tome koju vrstu podataka prikupljati. Prijetnja može prikupiti popise kontakata, SMS podatke, GPS poziciju, datoteke, popis svih instaliranih aplikacija, zapise poziva itd. Špijunski softver također može snimati snimke zaslona i audio snimke. Svi prikupljeni podaci zatim se eksfiltriraju na Command-and-Control server operacije.