Dracarys mobil skadlig programvara

Cyberkriminella använder en beväpnad version av den legitima meddelandeapplikationen Signal för att sprida ett potent Android-spywarehot känt som Dracarys. Hotet utnyttjas främst mot mål i Indien, Pakistan, Storbritannien och Nya Zeeland. Dracarys-hotet uppdagades först i en motstridig hotrapport som släpptes av Meta (tidigare Facebook). En mer djupgående rapport om Dracarys publicerades av forskare.

Infosec-experterna tillskriver hotet gruppen Bitter APT (Advanced Persistent Threat). Hackarna levererade Dracarys Android malware till sina offer enheter via en specialtillverkad phishing-sida utformad för att efterlikna den legitima Signal-nedladdningsportalen. Den använda domänen var 'signalpremium(dot)com.' Genom att dra fördel av den öppna källkoden för Signal-applikationen skapade Bitter APT-hackarna en version som har behållit alla de vanliga funktionerna och funktionerna som användarna förväntar sig av applikationen. Den modifierade versionen inkluderade dock också Dracarus malware i sin källkod.

När det väl har etablerats på enheten kan det mobila skadliga hotet extrahera ett brett utbud av data, samtidigt som det spionerar på målet. Efter att ha aktiverats kommer Dracarys först att försöka upprätta en anslutning till en Firebase-server för att få instruktioner om vilken typ av data som ska samlas in. Hotet kan samla in kontaktlistor, SMS-data, GPS-position, filer, en lista över alla installerade applikationer, samtalsloggar, etc. Spionprogrammet kan också ta skärmdumpar och göra ljudinspelningar. All insamlad data exfiltreras sedan till kommando-och-kontroll-servern för operationen.