Mobilna zlonamerna programska oprema Dracarys

Kibernetski kriminalci uporabljajo oboroženo različico zakonite aplikacije za sporočanje Signal za širjenje močne grožnje vohunske programske opreme Android, znane kot Dracarys. Grožnja je usmerjena predvsem proti tarčam v Indiji, Pakistanu, Združenem kraljestvu in Novi Zelandiji. Grožnja Dracarys je bila prvič razkrita v kontradiktornem poročilu o grožnjah, ki ga je objavila Meta (prej Facebook). Bolj poglobljeno poročilo o Dracarys so objavili raziskovalci.

Strokovnjaki za infosec grožnjo pripisujejo skupini Bitter APT (Advanced Persistent Threat). Hekerji so dostavili zlonamerno programsko opremo Dracarys Android v naprave svojih žrtev prek posebej oblikovane strani za lažno predstavljanje, zasnovane tako, da posnema zakoniti portal za prenos Signal. Uporabljena domena je bila 'signalpremium(dot)com.' Z izkoriščanjem odprtokodne kode aplikacije Signal so hekerji Bitter APT ustvarili različico, ki je ohranila vse običajne funkcionalnosti in funkcije, ki jih uporabniki pričakujejo od aplikacije. Vendar pa je spremenjena različica v izvorno kodo vključevala tudi zlonamerno programsko opremo Dracarus.

Ko je grožnja zlonamerne programske opreme za mobilne naprave enkrat vzpostavljena v napravi, lahko pridobi široko paleto podatkov, hkrati pa vohuni za tarčo. Po aktiviranju bo Dracarys najprej poskušal vzpostaviti povezavo s strežnikom Firebase, da bo prejel navodila o tem, katere vrste podatkov naj zbira. Grožnja lahko zbira sezname stikov, podatke SMS, položaj GPS, datoteke, seznam vseh nameščenih aplikacij, dnevnike klicev itd. Vohunska programska oprema lahko zajema tudi posnetke zaslona in zvočne posnetke. Vsi zbrani podatki se nato eksfiltrirajo v strežnik za vodenje in nadzor operacije.