Representación gráfica de Dracarys, desarrollado por Bitter. (Foto: APT - Cyble)
Representación gráfica de Dracarys, desarrollado por Bitter. (Foto: APT - Cyble) / Noelia Murillo
Grupo GDA

La firma de ciberinteligencia Cyble ha descubierto nuevos detalles sobre Dracarys, un tipo de que afecta a dispositivos y se hace pasar por aplicaciones para infectar los de sus víctimas.

Meta, matriz de Facebook, avistó por primera vez este hace unos meses, momento en que le puso nombre y lo mencionó en el marco de su informe sobre amenazas del segundo trimestre de este año.

Entonces, la compañía tecnológica asoció su uso al grupo de cibercriminales conocido como Bitter APT, que opera en el sudeste asiático y centra sus ataques en países como Nueva Zelanda, India, Paquistán y Reino Unido.

La compañía explicó en su informe que Bitter integró este spyware en versiones no oficiales e ilegítimas de aplicaciones como YouTube, Signal, Telegram o WhatsApp, entre otras plataformas de chat personalizadas.

MIRA: Gmail: ¿otros pueden leer tus correos? Detectan malware que accede a tu cuenta sin contraseña

Según comentó Meta en este escrito, una vez instalado en ellas, este malware es capaz acceder al registro de llamadas, lista de contactos, archivos, mensajes de textos, geolocalización e información del dispositivo, así como modificar los permisos de accesibilidad de Android y activar el micrófono, instalar otras apps o hacer fotografías con la cámara.

Ahora, Cyble ha publicado un informe técnico en el que se ha centrado en cómo Dracarys hace uso de una de las aplicaciones afectadas, en este caso Signal, para perpetrar sus ataques, robar información y enviársela al servidor externo Firebase.

En primer lugar, el grupo de cibercriminales Bitter, también conocido como T-APT-17, dispone de un portal web que utiliza el dominio y que utiliza para hacerse pasar por la página de descarga oficial de la plataforma.

Además, aprovecha que Signal es un software de código abierto para recrear una versión plenamente operativa del programa con todas sus funciones y características conocidas y hacerlo pasar como legítimo e incluye en él código de Dracarys.

MIRA TAMBIÉN: ¡Elimínalas ya! Alertan de nuevas apps en Android que podrían usar tus datos bancarios

La instalación de la app troyanizada de Signal solicita al usuario el acceso a servicios como su lista de contactos, SMS, cámara, micrófono, almacenamiento del dispositivo, localización y la capacidad de realizar llamadas.

Además, el spyware viola los servicios de accesibilidad para otorgarse a sí mismo permisos adicionales, de modo que continúa trabajando en segundo plano incluso cuando el usuario ha cerrado la aplicación.

CÓMO EVITAR UNA DE ESTAS INFECCIONES

La compañía de ciberseguridad ha propuesto una serie de recomendaciones a los usuarios para evitar ser víctimas de este malware, entre las que destaca la instalación exclusiva de aplicaciones provenientes de tiendas oficiales, como Play Store o App Store.

Además, la firma también cree conveniente el uso de sistemas de antivirus “reputados” en todos los dispositivos conectados, como ordenadores de sobremesa, tabletas, portátiles y teléfonos móviles.

MIRA: Ciberataques por menos de US$10: ¿cómo es el mundo del malware como servicio?

También es aconsejable el uso de contraseñas seguras, así como la activación de la autenticación multifactorial “siempre que sea posible” y de las funciones de seguridad biométricas, como la identificación por huella dactilar o por reconocimiento facial.

Por otra parte, se deben evitar los enlaces procedentes de correos electrónicos sospechosos o el servicio SMS automatizado, además de ser cuidadosos a la hora de otorgar ciertos permisos a una app.

Finalmente, la firma de ciberseguridad recomienda mantener todos los dispositivos actualizados y, en el caso de Android, asegurarse de tener la herramienta Google Play Protect activa.

Conforme a los criterios de

Trust Project
Saber más