La firma de ciberinteligencia Cyble ha descubierto nuevos detalles sobre Dracarys, un tipo de programa espía o spyware, que afecta a dispositivos Android y se hace pasar por aplicaciones para infectar los smartphones de sus víctimas. Este miércoles 10 de agosto de 2022 le contamos cómo actúa.
Meta, matriz de Facebook, avistó por primera vez este malware hace unos meses, momento en que le puso nombre y lo mencionó en el marco de su informe sobre amenazas del segundo trimestre de este año.
Entonces, la compañía tecnológica asoció su uso al grupo de cibercriminales conocido como Bitter APT, que opera en el sudeste asiático y centra sus ataques en países como Nueva Zelanda, India, Paquistán y Reino Unido.
Virus
La compañía explicó en su informe que Bitter integró este spyware en versiones no oficiales e ilegítimas de aplicaciones como YouTube, Signal, Telegram o WhatsApp, entre otras plataformas de chat personalizadas.
Según comentó Meta en este escrito, una vez instalado en ellas, este malware es capaz acceder al registro de llamadas, lista de contactos, archivos, mensajes de textos, geolocalización e información del dispositivo, así como modificar los permisos de accesibilidad de Android y activar el micrófono, instalar otras ‘apps’ o hacer fotografías con la cámara.
Ahora, Cyble ha publicado un informe técnico en el que se ha centrado en cómo Dracarys hace uso de una de las aplicaciones afectadas, en este caso Signal, para perpetrar sus ataques, robar información y enviársela al servidor externo Firebase.
Acciones del programa espía
En primer lugar, el grupo de cibercriminales Bitter, también conocido como T-APT-17, dispone de un portal web que utiliza el dominio signalpremium.com y que utiliza para hacerse pasar por la página de descarga oficial de la plataforma.
Además, aprovecha que Signal es un software de código abierto para recrear una versión plenamente operativa del programa con todas sus funciones y características conocidas para hacerlo pasar como legítimo e incluye en él, el código de Dracarys.
La instalación de la aplicación troyanizada de Signal solicita al usuario el acceso a servicios como su lista de contactos, SMS, cámara, micrófono, almacenamiento del dispositivo, localización y la capacidad de realizar llamadas.
Nicolás Maduro ordenó establecer el contacto ‘de inmediato’ con #Colombia para retomar las relaciones militares con el Gobierno de Gustavo Petro » https://bit.ly/3A9Kiuo
Posted by El Comercio on Tuesday, August 9, 2022