Malware per dispositivi mobili Dracarys

I criminali informatici stanno utilizzando una versione armata dell'applicazione di messaggistica legittima Signal per diffondere una potente minaccia spyware Android nota come Dracarys. La minaccia viene sfruttata principalmente contro obiettivi situati in India, Pakistan, Regno Unito e Nuova Zelanda. La minaccia Dracarys è stata portata alla luce per la prima volta in un rapporto sulla minaccia contraddittorio pubblicato da Meta (ex Facebook). Un rapporto più approfondito su Dracarys è stato pubblicato dai ricercatori.

Gli esperti di infosec attribuiscono la minaccia al gruppo Bitter APT (Advanced Persistent Threat). Gli hacker hanno consegnato il malware Dracarys Android ai dispositivi delle loro vittime tramite una pagina di phishing appositamente predisposta progettata per imitare il legittimo portale di download di Signal. Il dominio utilizzato era 'signalpremium(dot)com.' Sfruttando il codice open source dell'applicazione Signal, gli hacker di Bitter APT hanno creato una versione che ha mantenuto tutte le solite funzionalità e caratteristiche che gli utenti si aspettano dall'applicazione. Tuttavia, la versione modificata includeva anche il malware Dracarus nel suo codice sorgente.

Una volta stabilita sul dispositivo, la minaccia malware mobile è in grado di estrarre un'ampia gamma di dati, spiando al contempo il bersaglio. Dopo essere stato attivato, Dracarys proverà prima a stabilire una connessione con un server Firebase per ricevere istruzioni sul tipo di dati da raccogliere. La minaccia può raccogliere elenchi di contatti, dati SMS, posizione GPS, file, un elenco di tutte le applicazioni installate, registri delle chiamate, ecc. Lo spyware può anche acquisire schermate ed effettuare registrazioni audio. Tutti i dati raccolti vengono quindi esfiltrati al server Command-and-Control dell'operazione.