Logiciel malveillant Dracarys Mobile

Les cybercriminels utilisent une version militarisée de l'application de messagerie légitime Signal pour diffuser une puissante menace de logiciel espion Android connue sous le nom de Dracarys. La menace est principalement exploitée contre des cibles situées en Inde, au Pakistan, au Royaume-Uni et en Nouvelle-Zélande. La menace Dracarys a été révélée pour la première fois dans un rapport de menace contradictoire publié par Meta (anciennement Facebook). Un rapport plus approfondi sur Dracarys a été publié par des chercheurs.

Les experts de l'infosec attribuent la menace au groupe Bitter APT (Advanced Persistent Threat). Les pirates ont transmis le logiciel malveillant Dracarys Android aux appareils de leurs victimes via une page de phishing spécialement conçue pour imiter le portail de téléchargement légitime de Signal. Le domaine utilisé était "signalpremium(dot)com". En profitant du code open-source de l'application Signal, les hackers de Bitter APT ont créé une version qui a conservé toutes les fonctionnalités et caractéristiques habituelles que les utilisateurs attendent de l'application. Cependant, la version modifiée incluait également le malware Dracarus dans son code source.

Une fois établie sur l'appareil, la menace de malware mobile est capable d'extraire un large éventail de données, tout en espionnant la cible. Après avoir été activé, Dracarys essaiera d'abord d'établir une connexion avec un serveur Firebase pour recevoir des instructions sur le type de données à collecter. La menace peut récolter des listes de contacts, des données SMS, une position GPS, des fichiers, une liste de toutes les applications installées, des journaux d'appels, etc. Le logiciel espion peut également capturer des captures d'écran et effectuer des enregistrements audio. Toutes les données collectées sont ensuite exfiltrées vers le serveur Command-and-Control de l'opération.