Signal es conocida como una de las aplicaciones más populares que promueve la ciberseguridad y el cifrado para ayudar a proteger a sus usuarios. Sin embargo, los piratas informáticos han podido utilizar el software espía Dracarys en una versión modificada de la aplicación.
El software espía Dracarys para Android fue utilizado por el grupo Bitter APT
De acuerdo a Computadora que suena, los investigadores han podido descubrir detalles sobre el software espía Dracarys para Android, que se descubrió recientemente. El software espía fue utilizado por el grupo Bitter APT “en operaciones de ciberespionaje”.
Se observó que el software espía Dracarys se utilizó para atacar a usuarios ubicados en el Reino Unido, Nueva Zelanda, India e incluso Pakistán. Meta, anteriormente Facebook, informó por primera vez sobre el software espía durante su amenaza adversa del segundo trimestre de 2022. informe.
Meta mencionó cómo el software espía era capaz de realizar diferentes actividades maliciosas
En el informe, Meta mencionó cómo el software espía era capaz de robar datos, localizar geográficamente e incluso activar los micrófonos de los usuarios. ciclouna empresa de ciberinteligencia, publicó un informe técnico sobre Dracarys.
Según Bleeping Computer, el informe técnico se compartió exclusivamente con ellos y proporcionó una inmersión profunda en el funcionamiento interno del software espía. Aunque Meta mencionó versiones enlazadas de Telegram, WhatsApp y YouTube, la investigación de Cyble solo descubrió una “versión troyanizada de la aplicación de mensajería Signal”.
Cómo los piratas informáticos pudieron insertar el malware Dracarys en el código fuente
Los piratas informáticos pudieron enviar la aplicación a las víctimas a través de una página de phishing que parecía un portal de descarga de Signal genuino. El sitio falso utilizó el dominio “signalpremium.com”.
Dado que, según se informa, el código fuente de Signal es de código abierto, el grupo pudo crear una versión que incluye todas las características habituales, así como la funcionalidad esperada. Sin embargo, los actores de amenazas también agregaron el malware Dracarys dentro del código fuente de la aplicación de mensajería modificada.
La aplicación maliciosa es capaz de obtener acceso a información y controles críticos
Los permisos que se solicitaron al instalar el malware incluyen acceso a la lista de contactos, cámara y micrófono de los usuarios, SMS, almacenamiento de lectura y escritura, la capacidad de realizar llamadas e incluso la capacidad de conocer la ubicación precisa de los usuarios.
A pesar de ser riesgosos, los permisos son bastante normales para las aplicaciones de chat, lo que resultó en que la actividad maliciosa “no sea probable que genere sospechas”. Según se informa, el software espía también abusa del Servicio de Accesibilidad para obtener permisos adicionales automáticamente.
La aplicación maliciosa también puede ejecutarse en segundo plano
Esto también da como resultado que la versión maliciosa de la aplicación continúe ejecutándose en segundo plano a pesar de que el usuario cierre la aplicación Signal. Esto aumentó sus privilegios y permitió a los piratas informáticos hacer clic en la pantalla a pesar de que no hubo interacción por parte del usuario.
Cuando se inicia, el software espía se conectará a un servidor Firebase para obtener comandos sobre qué datos el dispositivo debería poder recopilar de los usuarios. Según Bleeping Computer, siempre es importante saber dónde descargan los usuarios determinadas aplicaciones para evitar ser víctimas de software malicioso.
ⓒ 2023 . .
