Malware móvil Dracarys

Los ciberdelincuentes están utilizando una versión armada de la aplicación de mensajería legítima Signal para propagar una potente amenaza de spyware para Android conocida como Dracarys. La amenaza se está aprovechando principalmente contra objetivos ubicados en India, Pakistán, el Reino Unido y Nueva Zelanda. La amenaza Dracarys salió a la luz por primera vez en un informe de amenazas contradictorias publicado por Meta (anteriormente Facebook). Los investigadores publicaron un informe más detallado sobre Dracarys.

Los expertos en infosec atribuyen la amenaza al grupo Bitter APT (Advanced Persistent Threat). Los piratas informáticos enviaron el malware de Android Dracarys a los dispositivos de sus víctimas a través de una página de phishing especialmente diseñada para imitar el portal legítimo de descarga de Signal. El dominio utilizado fue 'signalpremium(dot)com'. Al aprovechar el código fuente abierto de la aplicación Signal, los piratas informáticos de Bitter APT crearon una versión que conserva todas las funcionalidades y características habituales que los usuarios esperan de la aplicación. Sin embargo, la versión modificada también incluía el malware Dracarus en su código fuente.

Una vez establecida en el dispositivo, la amenaza de malware móvil es capaz de extraer una amplia gama de datos, al mismo tiempo que espía al objetivo. Después de activarse, Dracarys primero intentará establecer una conexión con un servidor de Firebase para recibir instrucciones sobre qué tipo de datos recopilar. La amenaza puede recolectar listas de contactos, datos SMS, posición GPS, archivos, una lista de todas las aplicaciones instaladas, registros de llamadas, etc. El spyware también puede capturar capturas de pantalla y hacer grabaciones de audio. Todos los datos recopilados luego se extraen al servidor de Comando y Control de la operación.