Los piratas informáticos instalan el malware Dracarys Android usando la aplicación Signal modificada

Los investigadores han descubierto más detalles sobre el spyware de Android recientemente descubierto 'Dracarys', utilizado por el grupo Bitter APT en operaciones de ciberespionaje dirigidas a usuarios de Nueva Zelanda, India, Pakistán y el Reino Unido.

Meta  (Facebook) informó por primera vez sobre el nuevo malware de Android en su informe de amenazas adversarias del segundo trimestre de 2022, donde mencionaron brevemente sus capacidades de robo de datos, geolocalización y activación de micrófonos.

Hoy, la firma de ciberinteligencia Cyble publicó un informe técnico sobre Dracarys, que se compartió exclusivamente con Bleeping Computer, profundizando en el funcionamiento interno del spyware.

 

Uso de Signal para implementar malware

Si bien Meta menciona versiones entrelazadas de Telegram, WhatsApp y YouTube, la investigación de Cyble solo descubrió una versión troyana de la aplicación de mensajería Signal.

El grupo de piratería entregó la aplicación a las víctimas a través de una página de phishing que apareció como un portal de descarga de Signal genuino, usando el dominio "signalpremium[.]com", como se muestra a continuación.

android-malware

Como el código fuente de Signal es de código abierto, el grupo de piratería Bitter APT pudo compilar una versión con todas las características habituales y la funcionalidad esperada. Sin embargo, los actores de amenazas también agregaron el malware Dracarys al código fuente al compilar la aplicación de mensajería.

code-comparison

Los permisos solicitados tras la instalación del malware incluyen acceso a la lista de contactos del teléfono, SMS, acceso a la cámara y al micrófono, almacenamiento de lectura y escritura, realización de llamadas y acceso a la ubicación precisa del dispositivo.

Incluso si son arriesgados, estos permisos son algo típicos de las aplicaciones de chat, por lo que es poco probable que la solicitud levante sospechas.

Dracarys también abusa del Servicio de Accesibilidad para otorgar automáticamente permisos adicionales y continuar ejecutándose en segundo plano incluso si el usuario cierra la aplicación Signal, aumentando sus privilegios y "haciendo clic" en la pantalla sin la interacción del usuario.

 

Dracarys roba tus datos

Cuando se inicie, Dracarys se conectará a un servidor de Firebase para recibir comandos sobre qué datos se deben recopilar del dispositivo.

Los datos que Dracarys puede recopilar y transmitir al servidor C2 incluyen los siguientes:

  • Lista de contactos
  • SMS de datos
  • Registros de llamadas
  • Lista de aplicaciones instaladas
  • archivos
  • posición gps

Finalmente, el spyware puede capturar capturas de pantalla del dispositivo, grabar audio y cargar los medios en el C2, que en la muestra analizada por Cyble era "hxxps://signal-premium-app[.]org".

screenshots-and-audio

Cómo mantenerse a salvo

Siempre tenga cuidado con las sugerencias para descargar aplicaciones de chat seguras, y cuando esté a punto de descargar una, asegúrese de usar la tienda oficial de Google Play en lugar de un sitio de terceros.

Al instalar una nueva aplicación en su dispositivo, preste atención a los permisos solicitados y controle periódicamente el consumo de batería y datos de Internet para descubrir cualquier proceso que se esté ejecutando en segundo plano.

El uso de la ingeniería social para hacerse pasar por empresas y personas legítimas está muy extendido a pesar de los esfuerzos de Meta por descubrir y bloquear cuentas falsas, por lo que los grupos de hackers como Bitter APT están obligados a seguir utilizando nuevas cuentas para convencer a los usuarios de que instalen su malware.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies