Berygtet Chisel Mobile Malware

Cyberoperatører tilknyttet hoveddirektoratet for generalstaben i den russiske føderations væbnede styrker, almindeligvis omtalt som GRU, har iværksat en målrettet kampagne rettet mod Android-enheder i Ukraine. Deres foretrukne våben i denne offensiv er et nyligt opdaget og ildevarslende truende værktøjssæt kaldet 'Berygtede mejsel'.

Denne grimme ramme giver hackerne bagdørsadgang til de målrettede enheder via en skjult tjeneste i The Onion Router (Tor) netværk. Denne service giver angriberne mulighed for at scanne lokale filer, opsnappe netværkstrafik og udtrække følsomme data.

Den ukrainske sikkerhedstjeneste (SSU) slog først alarm om truslen og gjorde offentligheden opmærksom på Sandworm-hackinggruppens bestræbelser på at infiltrere militære kommandosystemer ved hjælp af denne malware.

Bagefter har både UK National Cyber Security Center (NCSC) og US Cybersecurity and Infrastructure Security Agency (CISA) dykket ned i de indviklede tekniske aspekter af Infamous Chisel. Deres rapporter kaster lys over dets muligheder og giver uvurderlig indsigt for at styrke forsvarsforanstaltninger mod denne cybertrussel.

Den berygtede mejsel kan prale af en bred vifte af skadelige egenskaber

The Infamous Chisel er kompromitteret af flere komponenter designet til at etablere vedvarende kontrol over kompromitterede Android-enheder gennem Tor-netværket. Periodisk indsamler og overfører den offerdata fra de inficerede enheder.

Efter succesfuld infiltrering af en enhed, overtager den centrale komponent, 'netd', kontrollen og står klar til at udføre et sæt kommandoer og shell-scripts. For at sikre varig vedholdenhed erstatter den det legitime 'netd' Android-system binær.

Denne malware er specielt designet til at kompromittere Android-enheder og til omhyggeligt at scanne for information og applikationer vedrørende det ukrainske militær. Alle indhentede data videresendes derefter til gerningsmandens servere.

For at forhindre duplikering af sendte filer anvender en skjult fil med navnet '.google.index' MD5-hashes til at holde styr på de overførte data. Systemets kapacitet er begrænset til 16.384 filer, så dubletter kan eksfiltreres ud over denne tærskel.

The Infamous Mejsel kaster et bredt net, når det kommer til filtypenavne, målrettet mod en omfattende liste, herunder .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telefoni.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Ydermere scanner den enhedens interne hukommelse og eventuelle tilgængelige SD-kort, og efterlader ingen sten uvendt i sin søgen efter data.

Angribere kan bruge den berygtede mejsel til at få følsomme data

Den berygtede mejsel-malware udfører en omfattende scanning i Androids /data/-mappe og søger efter applikationer som Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts og en række andre.

Desuden besidder denne truende software evnen til at indsamle hardwareinformation og udføre scanninger på det lokale netværk for at identificere åbne porte og aktive værter. Angribere kan få fjernadgang gennem SOCKS og en SSH-forbindelse, som omdirigeres gennem et tilfældigt genereret .ONION-domæne.

Eksfiltreringen af filer og enhedsdata sker med regelmæssige intervaller, præcist hvert 86.000 sekund, svarende til én dag. LAN-scanningsaktiviteter finder sted hver anden dag, mens udtrækning af meget følsomme militære data finder sted langt hyppigere med intervaller på 600 sekunder (hvert 10. minut).

Desuden er konfigurationen og udførelsen af Tor-tjenester, der letter fjernadgang, planlagt til at finde sted hvert 6.000 sekund. For at opretholde netværksforbindelsen udfører malwaren kontrol på 'geodatatoo(dot)com'-domænet hvert 3. minut.

Det er værd at bemærke, at den Infamous Chisel malware ikke prioriterer snighed; i stedet ser den ud til at være langt mere interesseret i hurtig dataeksfiltrering og hurtigt at bevæge sig mod mere værdifulde militære netværk.