Dracarys Mobile Malware

Criminalii cibernetici folosesc o versiune cu arme a aplicației legitime de mesagerie Signal pentru a răspândi o amenințare puternică de tip spyware Android, cunoscută sub numele de Dracarys. Amenințarea este utilizată în principal împotriva țintelor situate în India, Pakistan, Marea Britanie și Noua Zeelandă. Amenințarea Dracarys a fost scoasă la iveală pentru prima dată într-un raport de amenințare adversar lansat de Meta (fostul Facebook). Un raport mai aprofundat despre Dracarys a fost publicat de cercetători.

Experții infosec atribuie amenințarea grupului Bitter APT (Advanced Persistent Threat). Hackerii au livrat malware-ul Dracarys Android pe dispozitivele victimelor lor printr-o pagină de phishing special concepută pentru a imita portalul legitim de descărcare Signal. Domeniul folosit a fost „signalpremium(dot)com”. Profitând de codul open-source al aplicației Signal, hackerii Bitter APT au creat o versiune care a păstrat toate funcționalitățile și caracteristicile obișnuite pe care utilizatorii le așteaptă de la aplicație. Cu toate acestea, versiunea modificată a inclus și malware-ul Dracarus în codul sursă.

Odată stabilită pe dispozitiv, amenințarea malware mobilă este capabilă să extragă o gamă largă de date, în timp ce spionează ținta. După activare, Dracarys va încerca mai întâi să stabilească o conexiune cu un server Firebase pentru a primi instrucțiuni despre ce tip de date să colecteze. Amenințarea poate colecta liste de contacte, date SMS, poziție GPS, fișiere, o listă cu toate aplicațiile instalate, jurnalele de apeluri etc. De asemenea, programul spion poate face capturi de ecran și poate face înregistrări audio. Toate datele colectate sunt apoi exfiltrate în serverul de comandă și control al operațiunii.