Beryktet Chisel Mobile Malware

Cyberoperatører tilknyttet hoveddirektoratet for generalstaben til den russiske føderasjonens væpnede styrker, ofte referert til som GRU, har satt i gang en målrettet kampanje rettet mot Android-enheter i Ukraina. Deres foretrukne våpen i denne offensiven er et nylig oppdaget og illevarslende truende verktøysett kalt "Beryktet meisel".

Dette ekle rammeverket gir hackerne bakdørstilgang til de målrettede enhetene via en skjult tjeneste innenfor The Onion Router (Tor)-nettverket. Denne tjenesten gir angriperne muligheten til å skanne lokale filer, fange opp nettverkstrafikk og trekke ut sensitive data.

Den ukrainske sikkerhetstjenesten (SSU) slo først alarm om trusselen, og varslet publikum om Sandworm-hackinggruppens bestrebelser på å infiltrere militære kommandosystemer ved å bruke denne skadevaren.

Etterpå har både UK National Cyber Security Center (NCSC) og US Cybersecurity and Infrastructure Security Agency (CISA) fordypet seg i de intrikate tekniske aspektene ved Infamous Chisel. Rapportene deres kaster lys over dens evner og gir uvurderlig innsikt for å styrke forsvarstiltak mot denne cybertrusselen.

Den beryktede meiselen har et bredt spekter av skadelige egenskaper

The Infamous Chisel er kompromittert av flere komponenter designet for å etablere vedvarende kontroll over kompromitterte Android-enheter gjennom Tor-nettverket. Med jevne mellomrom samler den inn og overfører offerdata fra de infiserte enhetene.

Etter vellykket infiltrering av en enhet, overtar den sentrale komponenten, 'netd, kontroll og står klar til å utføre et sett med kommandoer og shell-skript. For å sikre varig utholdenhet, erstatter den den legitime "netd" Android-systemets binære.

Denne skadevaren er spesielt utviklet for å kompromittere Android-enheter og for å skanne omhyggelig etter informasjon og applikasjoner knyttet til det ukrainske militæret. Alle innhentede data blir deretter videresendt til gjerningsmannens servere.

For å forhindre duplisering av sendte filer, bruker en skjult fil kalt '.google.index' MD5-hasher for å holde oversikt over de overførte dataene. Systemets kapasitet er begrenset til 16 384 filer, så duplikater kan eksfiltreres utover denne terskelen.

The Infamous Meisel kaster et bredt nett når det kommer til filutvidelser, og retter seg mot en omfattende liste inkludert .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telefoni.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. I tillegg skanner den enhetens interne minne og eventuelle tilgjengelige SD-kort, og etterlater ingen stein uforandret i sin søken etter data.

Angripere kan bruke den beryktede meiselen for å få tak i sensitive data

Den beryktede Meisel-malwaren gjennomfører en omfattende skanning i Androids /data/-katalog, og søker etter applikasjoner som Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , og en rekke andre.

Dessuten har denne truende programvaren muligheten til å samle inn maskinvareinformasjon og utføre skanninger på det lokale nettverket for å identifisere åpne porter og aktive verter. Angripere kan få ekstern tilgang gjennom SOCKS og en SSH-tilkobling, som omdirigeres gjennom et tilfeldig generert .ONION-domene.

Eksfiltrering av filer og enhetsdata skjer med jevne mellomrom, nøyaktig hvert 86.000. sekund, tilsvarende én dag. LAN-skanneaktiviteter skjer annenhver dag, mens utvinning av svært sensitive militære data skjer langt hyppigere, med intervaller på 600 sekunder (hvert 10. minutt).

Videre er konfigurasjonen og kjøringen av Tor-tjenester som forenkler ekstern tilgang planlagt å skje hvert 6.000. sekund. For å opprettholde nettverkstilkoblingen utfører skadelig programvare kontroller på 'geodatatoo(dot)com'-domenet hvert tredje minutt.

Det er verdt å merke seg at Infamous Chisel malware ikke prioriterer sniking; i stedet ser den ut til å være langt mer interessert i rask dataeksfiltrering og raskt bevege seg mot mer verdifulle militære nettverk.