Infamous Chisel Mobile Malware

Operadores cibernéticos afiliados à Direção Principal do Estado-Maior General das Forças Armadas da Federação Russa, comumente referido como GRU, iniciaram uma campanha direcionada destinada a dispositivos Android na Ucrânia. Sua arma preferida nesta ofensiva é um kit de ferramentas ameaçador recentemente descoberto e ameaçador, apelidado de 'Cinzel Infame'.

Essa estrutura desagradável permite aos hackers acesso backdoor aos dispositivos visados por meio de um serviço oculto na rede The Onion Router (Tor). Este serviço concede aos invasores a capacidade de verificar arquivos locais, interceptar o tráfego de rede e extrair dados confidenciais.

O Serviço de Segurança Ucraniano (SSU) primeiro soou o alarme sobre a ameaça, alertando o público sobre os esforços do grupo de hackers Sandworm para se infiltrar nos sistemas de comando militar usando este malware.

Posteriormente, tanto o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) quanto a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) se aprofundaram nos intrincados aspectos técnicos do Infamous Chisel. Os seus relatórios esclarecem as suas capacidades e fornecem informações valiosas para reforçar as medidas de defesa contra esta ameaça cibernética.

O Infamous Chisel Possui uma Ampla Gama de Capacidades Prejudiciais

O Infamous Chisel contém vários componentes projetados para estabelecer controle persistente sobre dispositivos Android comprometidos por meio da rede Tor. Periodicamente, ele coleta e transfere dados das vítimas dos dispositivos infectados.

Após a infiltração bem-sucedida em um dispositivo, o componente central, 'netd', assume o controle e fica pronto para executar um conjunto de comandos e scripts de shell. Para garantir persistência duradoura, ele substitui o binário legítimo do sistema Android 'netd'.

Este malware foi projetado especificamente para comprometer dispositivos Android e verificar meticulosamente informações e aplicativos pertencentes aos militares ucranianos. Todos os dados adquiridos são então encaminhados para os servidores do perpetrador.

Para evitar a duplicação dos arquivos enviados, um arquivo oculto chamado '.google.index' emprega hashes MD5 para controlar os dados transmitidos. A capacidade do sistema é limitada a 16.384 arquivos, portanto, as duplicatas podem ser exfiltradas além desse limite.

O Infamous Chisel lança uma ampla rede quando se trata de extensões de arquivo, visando uma extensa lista incluindo .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telefonia.db, .png, .jpg, .jpeg, .kme, banco de dados.hik, banco de dados.hik-journal, ezvizlog.db, cache4.db, contatos2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefonia.db, signal.db, mmssms.db, profile.db, contas.db, PyroMsg.DB, .exe , .kml. Além disso, ele verifica a memória interna do dispositivo e quaisquer cartões SD disponíveis, não deixando pedra sobre pedra em sua busca por dados.

Os Invasores podem Usar o Infamous Chisel para Obter Dados Confidenciais

O malware Infamous Chisel realiza uma varredura abrangente no diretório /data/ do Android, buscando aplicativos como Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts e uma série de outros.

Além disso, este software ameaçador possui a capacidade de coletar informações de hardware e realizar varreduras na rede local para identificar portas abertas e hosts ativos. Os invasores podem obter acesso remoto por meio de SOCKS e de uma conexão SSH, que é redirecionada por meio de um domínio .ONION gerado aleatoriamente.

A exfiltração de arquivos e dados de dispositivos ocorre em intervalos regulares, precisamente a cada 86 mil segundos, o equivalente a um dia. As atividades de varredura da LAN ocorrem a cada dois dias, enquanto a extração de dados militares altamente confidenciais ocorre com muito mais frequência, em intervalos de 600 segundos (a cada 10 minutos).

Além disso, a configuração e execução dos serviços Tor que facilitam o acesso remoto estão programadas para ocorrer a cada 6.000 segundos. Para manter a conectividade da rede, o malware realiza verificações no domínio ‘geodatatoo(dot)com’ a cada 3 minutos.

Vale a pena notar que o malware Infamous Chisel não prioriza a furtividade; em vez disso, parece estar muito mais interessado na rápida exfiltração de dados e na rápida migração para redes militares mais valiosas.