Infamous Chisel Mobile Malware

Cyber operativci povezani s Glavnom upravom Glavnog stožera Oružanih snaga Ruske Federacije, obično poznatim kao GRU, pokrenuli su ciljanu kampanju usmjerenu na Android uređaje u Ukrajini. Njihovo oružje po izboru u ovoj ofenzivi je nedavno otkriveni zlokobni prijeteći alat nazvan 'Zloglasno dlijeto'.

Ovaj opaki okvir omogućuje hakerima backdoor pristup ciljanim uređajima putem skrivene usluge unutar The Onion Router (Tor) mreže. Ova usluga napadačima daje mogućnost skeniranja lokalnih datoteka, presretanja mrežnog prometa i izdvajanja osjetljivih podataka.

Ukrajinska sigurnosna služba (SSU) prva je oglasila uzbunu zbog prijetnje, upozoravajući javnost na pokušaje hakerske grupe Sandworm da se infiltrira u vojne zapovjedne sustave koristeći ovaj malware.

Nakon toga, Nacionalni centar za kibernetičku sigurnost Ujedinjenog Kraljevstva (NCSC) i Agencija za kibernetičku sigurnost i sigurnost američke infrastrukture (CISA) zadubili su se u zamršene tehničke aspekte Infamous Chisela. Njihova izvješća rasvjetljavaju njegove mogućnosti i pružaju neprocjenjive uvide za jačanje obrambenih mjera protiv ove cyber prijetnje.

Zloglasno dlijeto može se pohvaliti širokim rasponom štetnih sposobnosti

Infamous Chisel kompromitiran je od nekoliko komponenti dizajniranih za uspostavljanje trajne kontrole nad kompromitiranim Android uređajima putem Tor mreže. Povremeno prikuplja i prenosi podatke o žrtvama sa zaraženih uređaja.

Nakon uspješne infiltracije u uređaj, središnja komponenta, 'netd', preuzima kontrolu i stoji spremna za izvođenje skupa naredbi i shell skripti. Kako bi se osigurala trajna postojanost, on zamjenjuje legitimni binarni sustav Android 'netd'.

Ovaj je zlonamjerni softver posebno dizajniran za kompromitiranje Android uređaja i precizno skeniranje informacija i aplikacija koje se odnose na ukrajinsku vojsku. Svi prikupljeni podaci zatim se prosljeđuju na poslužitelje počinitelja.

Kako bi se spriječilo umnožavanje poslanih datoteka, skrivena datoteka pod nazivom '.google.index' koristi MD5 hashove kako bi pratila prenesene podatke. Kapacitet sustava ograničen je na 16.384 datoteke, tako da bi duplikati mogli izaći izvan ovog praga.

Infamous Chisel baca široku mrežu kada su u pitanju ekstenzije datoteka, ciljajući na opsežan popis uključujući .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Nadalje, skenira unutarnju memoriju uređaja i sve dostupne SD kartice, ne ostavljajući kamen neprevrnut u svojoj potrazi za podacima.

Napadači mogu koristiti zloglasno dlijeto za dobivanje osjetljivih podataka

Zlonamjerni softver Infamous Chisel provodi opsežno skeniranje unutar /data/ direktorija Androida, tražeći aplikacije kao što su Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , i niz drugih.

Štoviše, ovaj prijeteći softver ima sposobnost prikupljanja informacija o hardveru i obavljanja skeniranja lokalne mreže kako bi se identificirali otvoreni portovi i aktivni hostovi. Napadači mogu dobiti daljinski pristup putem SOCKS-a i SSH veze, koja se preusmjerava kroz nasumično generiranu .ONION domenu.

Eksfiltracija datoteka i podataka uređaja događa se u pravilnim intervalima, točno svakih 86.000 sekundi, što je jednako jednom danu. Aktivnosti LAN skeniranja odvijaju se svaka dva dana, dok se izvlačenje visokoosjetljivih vojnih podataka odvija daleko češće, u intervalima od 600 sekundi (svakih 10 minuta).

Nadalje, konfiguracija i izvođenje Tor usluga koje olakšavaju udaljeni pristup predviđeno je da se odvija svakih 6000 sekundi. Kako bi održao mrežnu povezanost, zlonamjerni softver svake 3 minute provjerava domenu 'geodatatoo(dot)com'.

Vrijedno je napomenuti da zlonamjerni softver Infamous Chisel ne daje prednost nevidljivosti; umjesto toga, čini se da je daleko više zainteresiran za brzu ekstrakciju podataka i brzo kretanje prema vrijednijim vojnim mrežama.