Dracarys mobiele malware

Cybercriminelen gebruiken een bewapende versie van de legitieme berichtentoepassing Signal om een krachtige Android-spywarebedreiging te verspreiden die bekend staat als Dracarys. De dreiging wordt voornamelijk ingezet tegen doelen in India, Pakistan, het VK en Nieuw-Zeeland. De Dracarys-dreiging werd voor het eerst aan het licht gebracht in een vijandig dreigingsrapport dat werd vrijgegeven door Meta (voorheen Facebook). Onderzoekers publiceerden een meer diepgaand rapport over Dracarys.

De infosec-experts schrijven de dreiging toe aan de Bitter APT-groep (Advanced Persistent Threat). De hackers hebben de Dracarys Android-malware op de apparaten van hun slachtoffers afgeleverd via een speciaal vervaardigde phishing-pagina die is ontworpen om de legitieme Signal-downloadportal na te bootsen. Het gebruikte domein was 'signalpremium(dot)com.' Door gebruik te maken van de open source-code van de Signal-applicatie, hebben de Bitter APT-hackers een versie gemaakt die alle gebruikelijke functionaliteiten en functies heeft behouden die gebruikers van de applicatie verwachten. De aangepaste versie bevatte echter ook de Dracarus-malware in de broncode.

Eenmaal gevestigd op het apparaat, is de mobiele malwaredreiging in staat om een breed scala aan gegevens te extraheren en tegelijkertijd het doelwit te bespioneren. Na activering zal Dracarys eerst proberen een verbinding tot stand te brengen met een Firebase-server om instructies te ontvangen over het type gegevens dat moet worden verzameld. De dreiging kan contactlijsten, sms-gegevens, GPS-positie, bestanden, een lijst met alle geïnstalleerde applicaties, oproeplogboeken, enz. oogsten. De spyware kan ook schermafbeeldingen maken en audio-opnamen maken. Alle verzamelde gegevens worden vervolgens geëxfiltreerd naar de Command-and-Control-server van de operatie.