Dracarys Mobil Kötü Amaçlı Yazılım

Siber suçlular, Dracarys olarak bilinen güçlü bir Android casus yazılım tehdidini yaymak için meşru mesajlaşma uygulaması Signal'in silahlı bir sürümünü kullanıyor. Tehdit öncelikle Hindistan, Pakistan, Birleşik Krallık ve Yeni Zelanda'da bulunan hedeflere karşı kullanılıyor. Dracarys tehdidi ilk olarak Meta (eski adıyla Facebook) tarafından yayınlanan bir düşmanca tehdit raporunda gün ışığına çıkarıldı. Dracarys hakkında daha ayrıntılı bir rapor araştırmacılar tarafından yayınlandı.

Bilgi güvenliği uzmanları, tehdidi Bitter APT (Gelişmiş Kalıcı Tehdit) grubuna bağlıyor. Bilgisayar korsanları, Dracarys Android kötü amaçlı yazılımını, meşru Signal indirme portalını taklit etmek için tasarlanmış özel hazırlanmış bir kimlik avı sayfası aracılığıyla kurbanlarının cihazlarına teslim etti. Kullanılan alan 'signalpremium(dot)com'du. Bitter APT korsanları, Signal uygulamasının açık kaynak kodundan yararlanarak, kullanıcıların uygulamadan beklediği tüm olağan işlevleri ve özellikleri koruyan bir sürüm oluşturdular. Ancak, değiştirilmiş sürüm, kaynak kodunda Dracarus kötü amaçlı yazılımını da içeriyordu.

Cihazda bir kez kurulduktan sonra, mobil kötü amaçlı yazılım tehdidi, aynı zamanda hedefi gözetlerken çok çeşitli verileri çıkarma yeteneğine sahiptir. Etkinleştirildikten sonra Dracarys, ne tür verilerin toplanacağına ilişkin talimatları almak için önce bir Firebase sunucusuyla bağlantı kurmaya çalışır. Tehdit, kişi listelerini, SMS verilerini, GPS konumunu, dosyaları, tüm yüklü uygulamaların listesini, arama günlüklerini vb. toplayabilir. Casus yazılım ayrıca ekran görüntüleri yakalayabilir ve ses kayıtları yapabilir. Toplanan tüm veriler daha sonra operasyonun Komuta ve Kontrol sunucusuna aktarılır.