Mobilne złośliwe oprogramowanie Dracarys

Cyberprzestępcy używają uzbrojonej wersji legalnej aplikacji Signal do rozpowszechniania potężnego zagrożenia spyware na Androida znanego jako Dracarys. Zagrożenie jest wykorzystywane przede wszystkim przeciwko celom znajdującym się w Indiach, Pakistanie, Wielkiej Brytanii i Nowej Zelandii. Zagrożenie Dracarys zostało po raz pierwszy ujawnione w raporcie o zagrożeniu przeciwnika opublikowanym przez Meta (dawniej Facebook). Bardziej dogłębny raport na temat Dracarys został opublikowany przez badaczy.

Eksperci infosec przypisują zagrożenie grupie Bitter APT (Advanced Persistent Threat). Hakerzy dostarczyli złośliwe oprogramowanie Dracarys na Androida na urządzenia swoich ofiar za pośrednictwem specjalnie spreparowanej strony phishingowej zaprojektowanej w celu naśladowania legalnego portalu pobierania Signal. Użyta domena to „signalpremium(kropka)com”. Korzystając z kodu open source aplikacji Signal, hakerzy Bitter APT stworzyli wersję, która zachowała wszystkie typowe funkcje i cechy, których użytkownicy oczekują od aplikacji. Jednak zmodyfikowana wersja zawierała również złośliwe oprogramowanie Dracarus w swoim kodzie źródłowym.

Po zaistnieniu na urządzeniu mobilne szkodliwe oprogramowanie jest w stanie wydobywać szeroki zakres danych, jednocześnie szpiegując cel. Po aktywacji Dracarys najpierw spróbuje nawiązać połączenie z serwerem Firebase, aby otrzymać instrukcje dotyczące rodzaju zbieranych danych. Zagrożenie może przechwytywać listy kontaktów, dane SMS, pozycję GPS, pliki, listę wszystkich zainstalowanych aplikacji, dzienniki połączeń itp. Oprogramowanie szpiegujące może również przechwytywać zrzuty ekranu i nagrywać dźwięki. Wszystkie zebrane dane są następnie eksportowane na serwer Dowodzenia i Kontroli operacji.