Infamul program malware Chisel Mobile

Agenții cibernetici afiliați la Direcția Principală a Statului Major al Forțelor Armate ale Federației Ruse, denumite în mod obișnuit GRU, au inițiat o campanie direcționată care vizează dispozitivele Android din Ucraina. Arma lor preferată în această ofensivă este o trusă de instrumente amenințătoare și descoperită recent, numită „Dălta infamă”.

Acest cadru neplăcut oferă hackerilor acces la dispozitivele vizate prin intermediul unui serviciu ascuns în rețeaua Onion Router (Tor). Acest serviciu oferă atacatorilor posibilitatea de a scana fișiere locale, de a intercepta traficul de rețea și de a extrage date sensibile.

Serviciul de Securitate al Ucrainei (SSU) a tras mai întâi un semnal de alarmă cu privire la amenințare, alertând publicul cu privire la eforturile grupului de hacking Sandworm de a se infiltra în sistemele militare de comandă folosind acest malware.

Ulterior, atât Centrul Național de Securitate Cibernetică a Regatului Unit (NCSC), cât și Agenția de Securitate Cibernetică și Infrastructură din SUA (CISA) s-au aprofundat în aspectele tehnice complexe ale Infamous Chisel. Rapoartele lor pun în lumină capacitățile sale și oferă informații neprețuite pentru a consolida măsurile de apărare împotriva acestei amenințări cibernetice.

Infama daltă se mândrește cu o gamă largă de capacități dăunătoare

Infamous Chisel este compromis din mai multe componente concepute pentru a stabili un control persistent asupra dispozitivelor Android compromise prin intermediul rețelei Tor. Periodic, colectează și transferă datele victimelor de pe dispozitivele infectate.

La infiltrarea cu succes a unui dispozitiv, componenta centrală, „netd”, preia controlul și este pregătită să execute un set de comenzi și scripturi shell. Pentru a asigura persistența de durată, înlocuiește sistemul binar legitim „netd” Android.

Acest malware este conceput special pentru a compromite dispozitivele Android și pentru a scana meticulos informații și aplicații referitoare la armata ucraineană. Toate datele dobândite sunt apoi redirecționate către serverele făptuitorului.

Pentru a preveni duplicarea fișierelor trimise, un fișier ascuns numit „.google.index” folosește hash-uri MD5 pentru a urmări datele transmise. Capacitatea sistemului este limitată la 16.384 de fișiere, astfel încât duplicatele ar putea fi exfiltrate dincolo de acest prag.

Infamous Chisel aruncă o plasă largă când vine vorba de extensii de fișiere, vizând o listă extinsă, inclusiv .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefonie.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. În plus, scanează memoria internă a dispozitivului și toate cardurile SD disponibile, fără a lăsa piatra neîntoarsă în căutarea de date.

Atacatorii pot folosi dalta infama pentru a obține date sensibile

Programul malware Infamous Chisel efectuează o scanare completă în directorul /date/ al Android, căutând aplicații precum Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , și o serie de altele.

Mai mult, acest software amenințător posedă capacitatea de a colecta informații hardware și de a efectua scanări în rețeaua locală pentru a identifica porturile deschise și gazdele active. Atacatorii pot obține acces la distanță prin SOCKS și o conexiune SSH, care este redirecționată printr-un domeniu .ONION generat aleatoriu.

Exfiltrarea fișierelor și a datelor dispozitivului are loc la intervale regulate, exact la fiecare 86.000 de secunde, echivalentul unei zile. Activitățile de scanare LAN au loc la fiecare două zile, în timp ce extragerea datelor militare extrem de sensibile are loc mult mai frecvent, la intervale de 600 de secunde (la fiecare 10 minute).

Mai mult, configurarea și execuția serviciilor Tor care facilitează accesul de la distanță sunt programate să aibă loc la fiecare 6.000 de secunde. Pentru a menține conectivitatea la rețea, malware-ul efectuează verificări pe domeniul „geodatatoo(dot)com” la fiecare 3 minute.

Este demn de remarcat faptul că malware-ul Infamous Chisel nu acordă prioritate stealthismului; în schimb, pare să fie mult mai interesat de exfiltrarea rapidă a datelor și de mutarea rapidă către rețele militare mai valoroase.