Οι ερευνητές ανακάλυψαν περισσότερες λεπτομέρειες για το πρόσφατα ανακαλυφθέν λογισμικό υποκλοπής Android «Dracarys», που χρησιμοποιείται από την ομάδα Bitter APT σε επιχειρήσεις κυβερνοκατασκοπείας που στοχεύουν χρήστες από τη Νέα Ζηλανδία, την Ινδία, το Πακιστάν και το Ηνωμένο Βασίλειο.
Meta (Facebook) ανέφερε για πρώτη φορά το νέο κακόβουλο λογισμικό Android στην αναφορά αντιθετικής απειλής του 2ου τριμήνου 2022, όπου ανέφερε εν συντομία τις δυνατότητες κλοπής δεδομένων, γεωγραφικού εντοπισμού και ενεργοποίησης μικροφώνου.
Σήμερα, η εταιρεία κυβερνο-πληροφοριών Cyble δημοσίευσε μια τεχνική έκθεση για το Dracarys, βουτώντας βαθύτερα στην εσωτερική λειτουργία του spyware.
Χρήση του Signal για την ανάπτυξη κακόβουλου λογισμικού
Ενώ η Meta αναφέρει τις δεσμευμένες εκδόσεις του Telegram, του WhatsApp και του YouTube, η έρευνα της Cyble αποκάλυψε μόνο μια trojanized έκδοση της εφαρμογής ανταλλαγής μηνυμάτων Signal.
Η ομάδα hacking παρέδωσε την εφαρμογή στα θύματα μέσω μιας σελίδας ηλεκτρονικού ψαρέματος που έγινε για να εμφανίζεται ως γνήσια πύλη λήψης Signal, χρησιμοποιώντας τον τομέα “signalpremium[.]com .
Καθώς ο πηγαίος κώδικας του Signal είναι ανοιχτού κώδικα, η ομάδα hacking Bitter APT μπόρεσε να μεταγλωττίσει μια έκδοση με όλες τις συνήθεις δυνατότητες και την αναμενόμενη λειτουργικότητα. Ωστόσο, οι φορείς απειλών πρόσθεσαν επίσης το κακόβουλο λογισμικό Dracarys στον πηγαίο κώδικα κατά τη σύνταξη της εφαρμογής ανταλλαγής μηνυμάτων.
Τα δικαιώματα που ζητούνται κατά την εγκατάσταση του κακόβουλου λογισμικού περιλαμβάνουν πρόσβαση στη λίστα επαφών του τηλεφώνου, SMS, πρόσβαση στην κάμερα και το μικρόφωνο, αποθήκευση ανάγνωσης και εγγραφής, πραγματοποίηση κλήσεων και πρόσβαση στην ακριβή τοποθεσία της συσκευής.
Ακόμη και αν είναι επικίνδυνες, αυτές οι άδειες είναι κάπως τυπικές για εφαρμογές συνομιλίας, επομένως το αίτημα είναι απίθανο να εγείρει υποψίες.
Η Dracarys καταχράται επίσης την Υπηρεσία Προσβασιμότητας για να εκχωρεί αυτόματα πρόσθετα δικαιώματα και να συνεχίζει να εκτελείται στο παρασκήνιο ακόμα κι αν ο χρήστης κλείσει την εφαρμογή Signal, αυξάνοντας τα προνόμιά της και κάνοντας «κλικ» στην οθόνη χωρίς αλληλεπίδραση με τον χρήστη.