Infamous Chisel Mobile Malware

Кибероператори, свързани с Главното управление на Генералния щаб на въоръжените сили на Руската федерация, обикновено наричано ГРУ, са инициирали целенасочена кампания, насочена към устройства с Android в Украйна. Избраното от тях оръжие в тази офанзива е наскоро открит и зловещ заплашителен инструментариум, наречен „Позорното длето“.

Тази неприятна рамка предоставя на хакерите заден достъп до целевите устройства чрез скрита услуга в мрежата The Onion Router (Tor). Тази услуга предоставя на атакуващите възможността да сканират локални файлове, да прихващат мрежов трафик и да извличат чувствителни данни.

Украинската служба за сигурност (SSU) първа алармира за заплахата, предупреждавайки обществеността за опитите на хакерската група Sandworm да проникне във военни командни системи, използвайки този зловреден софтуер.

След това както Националният център за киберсигурност на Обединеното кралство (NCSC), така и Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) се задълбочиха в сложните технически аспекти на Infamous Chisel. Техните доклади хвърлят светлина върху неговите възможности и предоставят безценна информация за укрепване на защитните мерки срещу тази кибер заплаха.

Прословутото длето може да се похвали с широка гама от вредни способности

Infamous Chisel е компрометиран от няколко компонента, предназначени да установят постоянен контрол върху компрометирани устройства с Android чрез мрежата Tor. Периодично той събира и прехвърля данни на жертвите от заразените устройства.

При успешно проникване в устройство, централният компонент, 'netd', поема контрола и е готов да изпълни набор от команди и скриптове на обвивката. За да се осигури трайна устойчивост, той замества легитимния системен двоичен файл „netd“ на Android.

Този зловреден софтуер е специално проектиран да компрометира устройства с Android и да сканира щателно за информация и приложения, отнасящи се до украинската армия. След това всички получени данни се препращат към сървърите на извършителя.

За да предотврати дублирането на изпратени файлове, скрит файл с име „.google.index“ използва MD5 хешове, за да следи предадените данни. Капацитетът на системата е ограничен до 16 384 файла, така че дубликатите могат да бъдат ексфилтрирани отвъд този праг.

The Infamous Chisel хвърля широка мрежа, когато става въпрос за файлови разширения, насочвайки се към обширен списък, включително .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Освен това, той сканира вътрешната памет на устройството и всички налични SD карти, като не оставя камък необърнат в търсенето на данни.

Нападателите могат да използват Infamous Chisel, за да получат чувствителни данни

Зловреден софтуер Infamous Chisel извършва цялостно сканиране в директорията /data/ на Android, търсейки приложения като Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts и редица други.

Освен това този заплашителен софтуер притежава способността да събира информация за хардуера и да извършва сканиране на локалната мрежа, за да идентифицира отворени портове и активни хостове. Нападателите могат да получат отдалечен достъп чрез SOCKS и SSH връзка, която се пренасочва през произволно генериран домейн .ONION.

Извличането на файлове и данни от устройството се извършва на редовни интервали, точно на всеки 86 000 секунди, което се равнява на един ден. Дейностите по сканиране на LAN се извършват на всеки два дни, докато извличането на високочувствителни военни данни се извършва много по-често, на интервали от 600 секунди (на всеки 10 минути).

Освен това конфигурацията и изпълнението на услугите Tor, които улесняват отдалечения достъп, са планирани да се извършват на всеки 6000 секунди. За да поддържа мрежовата свързаност, зловредният софтуер извършва проверки на домейна „geodatatoo(dot)com“ на всеки 3 минути.

Струва си да се отбележи, че злонамереният софтуер Infamous Chisel не дава приоритет на скритостта; вместо това изглежда, че е много по-заинтересован от бързото извличане на данни и бързото преминаване към по-ценни военни мрежи.