Dracarys Mobile Malware

A kiberbűnözők a Signal törvényes üzenetküldő alkalmazás fegyveres verzióját használják a Dracarys néven ismert erős Android spyware fenyegetés terjesztésére. A fenyegetést elsősorban Indiában, Pakisztánban, az Egyesült Királyságban és Új-Zélandon található célpontok ellen használják fel. A Dracarys-fenyegetés először a Meta (korábban Facebook) által közzétett ellenséges fenyegetési jelentésben derült ki. A Dracarysről részletesebb jelentést tettek közzé a kutatók.

Az infosec szakértői a Bitter APT (Advanced Persistent Threat) csoportnak tulajdonítják a fenyegetést. A hackerek a Dracarys Android rosszindulatú programját egy speciálisan kialakított adathalász oldalon keresztül juttatták el áldozataik eszközére, amely a legitim Signal letöltési portált utánozza. A használt domain a „signalpremium(dot)com” volt. A Signal alkalmazás nyílt forráskódjának előnyeit kihasználva a Bitter APT hackerei létrehoztak egy olyan verziót, amely megtartotta mindazokat a szokásos funkciókat és funkciókat, amelyeket a felhasználók elvárnak az alkalmazástól. A módosított verzió azonban a Dracarus kártevőt is tartalmazta a forráskódjában.

Az eszközön való megjelenést követően a mobil malware fenyegetés sokféle adat kinyerésére képes, miközben a célpont után is kémkedik. Az aktiválás után a Dracarys először megpróbál kapcsolatot létesíteni egy Firebase-kiszolgálóval, hogy megkapja az utasításokat arról, hogy milyen típusú adatokat kell gyűjteni. A fenyegetés begyűjtheti a névjegyzékeket, SMS-adatokat, GPS-pozíciót, fájlokat, az összes telepített alkalmazás listáját, hívásnaplókat stb. A kémprogramok képernyőképeket és hangfelvételeket is készíthetnek. Ezután minden összegyűjtött adatot kiszűrnek a művelet Command-and-Control szerverére.