Il famigerato malware mobile Chisel

Gli agenti informatici affiliati alla Direzione Principale dello Stato Maggiore Generale delle Forze Armate della Federazione Russa, comunemente indicato come GRU, hanno avviato una campagna mirata mirata ai dispositivi Android in Ucraina. La loro arma preferita in questa offensiva è un minaccioso toolkit scoperto di recente e soprannominato "l'infame scalpello".

Questo brutto framework offre agli hacker l'accesso backdoor ai dispositivi presi di mira tramite un servizio nascosto all'interno della rete The Onion Router (Tor). Questo servizio garantisce agli aggressori la possibilità di scansionare file locali, intercettare il traffico di rete ed estrarre dati sensibili.

Il servizio di sicurezza ucraino (SSU) ha lanciato per primo l'allarme sulla minaccia, allertando il pubblico sui tentativi del gruppo di hacker Sandworm di infiltrarsi nei sistemi di comando militare utilizzando questo malware.

Successivamente, sia il National Cyber Security Centre (NCSC) del Regno Unito che la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti hanno approfondito gli intricati aspetti tecnici del famigerato scalpello. I loro rapporti fanno luce sulle sue capacità e forniscono informazioni preziose per rafforzare le misure di difesa contro questa minaccia informatica.

Il famigerato scalpello vanta una vasta gamma di capacità dannose

The Infamous Chisel è composto da diversi componenti progettati per stabilire un controllo persistente sui dispositivi Android compromessi attraverso la rete Tor. Periodicamente raccoglie e trasferisce i dati delle vittime dai dispositivi infetti.

Dopo essersi infiltrato con successo in un dispositivo, il componente centrale, "netd", assume il controllo ed è pronto a eseguire una serie di comandi e script di shell. Per garantire una persistenza duratura, sostituisce il legittimo binario del sistema Android "netd".

Questo malware è progettato specificamente per compromettere i dispositivi Android e per scansionare meticolosamente informazioni e applicazioni relative all'esercito ucraino. Tutti i dati acquisiti vengono quindi inoltrati ai server dell'autore del reato.

Per impedire la duplicazione dei file inviati, un file nascosto denominato ".google.index" utilizza hash MD5 per tenere sotto controllo i dati trasmessi. La capacità del sistema è limitata a 16.384 file, quindi i duplicati potrebbero essere esfiltrati oltre questa soglia.

Il famigerato scalpello getta una vasta rete quando si tratta di estensioni di file, prendendo di mira un ampio elenco che include .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telefonia.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contatti2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefonia.db, signal.db, mmssms.db, profile.db, account.db, PyroMsg.DB, .exe , .kml. Inoltre, esegue la scansione della memoria interna del dispositivo e di tutte le schede SD disponibili, senza lasciare nulla di intentato nella ricerca di dati.

Gli aggressori possono utilizzare il famigerato scalpello per ottenere dati sensibili

Il famigerato malware Chisel esegue una scansione completa all'interno della directory /data/ di Android, cercando applicazioni come Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Contatti Android e una serie di altri.

Inoltre, questo software minaccioso possiede la capacità di raccogliere informazioni sull'hardware ed eseguire scansioni sulla rete locale per identificare porte aperte e host attivi. Gli aggressori possono ottenere l'accesso remoto tramite SOCKS e una connessione SSH, che viene reindirizzata attraverso un dominio .ONION generato casualmente.

L'esfiltrazione di file e dati del dispositivo avviene a intervalli regolari, precisamente ogni 86.000 secondi, l'equivalente di un giorno. Le attività di scansione della LAN avvengono ogni due giorni, mentre l'estrazione di dati militari altamente sensibili avviene molto più frequentemente, ad intervalli di 600 secondi (ogni 10 minuti).

Inoltre, la configurazione e l'esecuzione dei servizi Tor che facilitano l'accesso remoto sono programmate ogni 6.000 secondi. Per mantenere la connettività di rete, il malware esegue controlli sul dominio "geodatatoo(dot)com" ogni 3 minuti.

Vale la pena notare che il malware Infamous Chisel non dà priorità alla furtività; sembra invece essere molto più interessato a una rapida esfiltrazione dei dati e a spostarsi rapidamente verso reti militari più preziose.