Dracarys Mobile Malware

Kyberzločinci používajú zbraňovú verziu legitímnej aplikácie na odosielanie správ Signal na šírenie silnej spywarovej hrozby pre Android známej ako Dracarys. Hrozba je primárne využívaná proti cieľom v Indii, Pakistane, Spojenom kráľovstve a na Novom Zélande. Hrozba Dracarys bola prvýkrát odhalená v správe o nepriateľskej hrozbe, ktorú zverejnila spoločnosť Meta (predtým Facebook). Výskumníci zverejnili hlbšiu správu o Dracarys.

Odborníci z Infosec pripisujú hrozbu skupine Bitter APT (Advanced Persistent Threat). Hackeri doručili malvér Dracarys Android do zariadení svojich obetí prostredníctvom špeciálne vytvorenej phishingovej stránky navrhnutej tak, aby napodobňovala legitímny portál na stiahnutie signálu. Použitá doména bola 'signalpremium(dot)com.' Využitím open-source kódu aplikácie Signal vytvorili hackeri Bitter APT verziu, ktorá si zachovala všetky obvyklé funkcie a vlastnosti, ktoré používatelia od aplikácie očakávajú. Upravená verzia však vo svojom zdrojovom kóde obsahovala aj malvér Dracarus.

Po zavedení do zariadenia je hrozba mobilného malvéru schopná extrahovať širokú škálu údajov a zároveň špehovať cieľ. Po aktivácii sa Dracarys najskôr pokúsi nadviazať spojenie so serverom Firebase, aby dostal pokyny o tom, aký typ údajov má zhromažďovať. Hrozba môže zbierať zoznamy kontaktov, SMS dáta, GPS polohu, súbory, zoznam všetkých nainštalovaných aplikácií, protokoly hovorov atď. Spyware môže tiež zachytávať snímky obrazovky a robiť zvukové nahrávky. Všetky zozbierané údaje sa potom prenesú na server velenia a riadenia operácie.