Nechvalně známý Chisel Mobile Malware

Kybernetičtí operátoři přidružení k Hlavnímu ředitelství Generálního štábu Ozbrojených sil Ruské federace, běžně označovaným jako GRU, zahájili cílenou kampaň zaměřenou na zařízení Android na Ukrajině. Jejich zbraní v této ofenzivě je nedávno objevený a zlověstný hrozivý nástroj nazvaný 'Neslavný sekáč'.

Tento odporný rámec poskytuje hackerům zadní vrátka k cílovým zařízením prostřednictvím skryté služby v síti The Onion Router (Tor). Tato služba poskytuje útočníkům možnost skenovat místní soubory, zachycovat síťový provoz a extrahovat citlivá data.

Ukrajinská bezpečnostní služba (SSU) nejprve vyhlásila poplach ohledně hrozby a upozornila veřejnost na snahy hackerské skupiny Sandworm infiltrovat vojenské velitelské systémy pomocí tohoto malwaru.

Poté se Národní centrum kybernetické bezpečnosti Spojeného království (NCSC) i Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) ponořily do složitých technických aspektů Hanebného sekáče. Jejich zprávy osvětlují její schopnosti a poskytují neocenitelné poznatky k posílení obranných opatření proti této kybernetické hrozbě.

Nechvalně známý sekáč se může pochlubit širokou škálou škodlivých schopností

Infamous Chisel je kompromitován několika komponentami navrženými k vytvoření trvalé kontroly nad kompromitovanými zařízeními Android prostřednictvím sítě Tor. Pravidelně shromažďuje a přenáší data obětí z infikovaných zařízení.

Po úspěšné infiltraci zařízení převezme centrální komponenta 'netd' kontrolu a je připravena provést sadu příkazů a skriptů shellu. Aby byla zajištěna trvalá perzistence, nahrazuje legitimní binární systém „netd“ Android.

Tento malware je speciálně navržen tak, aby kompromitoval zařízení Android a pečlivě vyhledával informace a aplikace týkající se ukrajinské armády. Všechna získaná data jsou následně předána na servery pachatele.

Aby se zabránilo duplikaci odesílaných souborů, skrytý soubor s názvem '.google.index' využívá hash MD5 k udržení přehledu o přenášených datech. Kapacita systému je omezena na 16 384 souborů, takže duplikáty by mohly být exfiltrovány i za touto hranicí.

Hanebný sekáč vrhá širokou síť, pokud jde o přípony souborů, zaměřuje se na rozsáhlý seznam včetně .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telefonie.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefonie.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Kromě toho skenuje vnitřní paměť zařízení a všechny dostupné SD karty, takže při hledání dat nezůstane žádný kámen na kameni.

Útočníci mohou pomocí Hanebného sekáče získat citlivá data

Malware Infamous Chisel provádí komplexní skenování v adresáři /data/ Androidu a vyhledává aplikace jako Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts. a řada dalších.

Tento ohrožující software má navíc schopnost shromažďovat informace o hardwaru a provádět skenování v místní síti za účelem identifikace otevřených portů a aktivních hostitelů. Útočníci mohou získat vzdálený přístup prostřednictvím SOCKS a připojení SSH, které je přesměrováno přes náhodně vygenerovanou doménu .ONION.

K exfiltraci souborů a dat zařízení dochází v pravidelných intervalech, přesně každých 86 000 sekund, což je ekvivalent jednoho dne. Činnosti skenování LAN probíhají každé dva dny, zatímco získávání vysoce citlivých vojenských dat probíhá mnohem častěji, v intervalech 600 sekund (každých 10 minut).

Kromě toho je konfigurace a provádění služeb Tor, které usnadňují vzdálený přístup, naplánováno každých 6 000 sekund. Aby byla zachována síťová konektivita, malware každé 3 minuty kontroluje doménu „geodatatoo(dot)com“.

Stojí za zmínku, že malware Infamous Chisel neupřednostňuje tajnost; místo toho se zdá, že se mnohem více zajímá o rychlou exfiltraci dat a rychlý přechod k cennějším vojenským sítím.