Malware famëkeq Chisel Mobile

Operativët kibernetikë të lidhur me Drejtorinë kryesore të Shtabit të Përgjithshëm të Forcave të Armatosura të Federatës Ruse, të quajtur zakonisht GRU, kanë iniciuar një fushatë të synuar që synon pajisjet Android brenda Ukrainës. Arma e tyre e zgjedhur në këtë ofensivë është një paketë veglash kërcënuese e zbuluar së fundmi dhe ogurzi, e quajtur 'Dalta famëkeqe'.

Kjo kornizë e keqe u mundëson hakerëve qasje në dyer të pasme në pajisjet e synuara nëpërmjet një shërbimi të fshehur brenda rrjetit The Onion Router (Tor). Ky shërbim u jep sulmuesve mundësinë për të skanuar skedarët lokalë, për të përgjuar trafikun e rrjetit dhe për të nxjerrë të dhëna të ndjeshme.

Shërbimi i Sigurisë së Ukrainës (SSU) së pari dha alarmin për kërcënimin, duke paralajmëruar publikun për përpjekjet e grupit të hakerëve Sandworm për të depërtuar në sistemet e komandës ushtarake duke përdorur këtë malware.

Më pas, si Qendra Kombëtare e Sigurisë Kibernetike në Mbretërinë e Bashkuar (NCSC) dhe Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës së SHBA (CISA) janë thelluar në aspektet e ndërlikuara teknike të Daltës Famëkeqe. Raportet e tyre hedhin dritë mbi aftësitë e saj dhe japin njohuri të paçmueshme për të forcuar masat e mbrojtjes kundër këtij kërcënimi kibernetik.

Dalta famëkeqe krenohet me një gamë të gjerë aftësish të dëmshme

Dalta Infamous është e komprometuar nga disa komponentë të krijuar për të vendosur kontroll të vazhdueshëm mbi pajisjet e komprometuara Android përmes rrjetit Tor. Periodikisht, ai mbledh dhe transferon të dhënat e viktimave nga pajisjet e infektuara.

Pas infiltrimit të suksesshëm të një pajisjeje, komponenti qendror, 'netd', merr kontrollin dhe qëndron gati për të kryer një grup komandash dhe skriptesh shell. Për të siguruar qëndrueshmëri të qëndrueshme, ai zëvendëson binarin legjitim të sistemit Android 'netd'.

Ky malware është krijuar posaçërisht për të komprometuar pajisjet Android dhe për të skanuar me përpikëri informacione dhe aplikacione që kanë të bëjnë me ushtrinë ukrainase. Të gjitha të dhënat e marra më pas përcillen në serverët e autorit.

Për të parandaluar dyfishimin e skedarëve të dërguar, një skedar i fshehur me emrin '.google.index' përdor hash MD5 për të mbajtur skeda në të dhënat e transmetuara. Kapaciteti i sistemit është i kufizuar në 16,384 skedarë, kështu që dublikatat mund të ekfiltrohen përtej këtij pragu.

Dalta famëkeqe krijon një rrjet të gjerë kur bëhet fjalë për shtesat e skedarëve, duke synuar një listë të gjerë duke përfshirë .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Për më tepër, ai skanon memorien e brendshme të pajisjes dhe çdo kartë SD të disponueshme, duke mos lënë asnjë gur pa lëvizur në kërkimin e të dhënave.

Sulmuesit mund të përdorin daltën famëkeqe për të marrë të dhëna të ndjeshme

Malware Infamous Chisel kryen një skanim gjithëpërfshirës brenda drejtorisë /data/ të Android, duke kërkuar aplikacione të tilla si Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , dhe një sërë të tjerash.

Për më tepër, ky softuer kërcënues zotëron aftësinë për të mbledhur informacione harduerike dhe për të kryer skanime në rrjetin lokal për të identifikuar portet e hapura dhe hostet aktivë. Sulmuesit mund të kenë akses në distancë nëpërmjet SOCKS dhe një lidhjeje SSH, e cila ridrejtohet përmes një domeni .ONION të krijuar rastësisht.

Eksfiltrimi i skedarëve dhe të dhënave të pajisjes ndodh në intervale të rregullta, saktësisht çdo 86,000 sekonda, e barabartë me një ditë. Aktivitetet e skanimit LAN ndodhin çdo dy ditë, ndërsa nxjerrja e të dhënave ushtarake shumë të ndjeshme bëhet shumë më shpesh, në intervale prej 600 sekondash (çdo 10 minuta).

Për më tepër, konfigurimi dhe ekzekutimi i shërbimeve Tor që lehtësojnë aksesin në distancë janë planifikuar të ndodhin çdo 6000 sekonda. Për të ruajtur lidhjen e rrjetit, malware kryen kontrolle në domenin 'geodatatoo(dot)com' çdo 3 minuta.

Vlen të përmendet se malware Infamous Chisel nuk i jep përparësi fshehtësisë; në vend të kësaj, duket se është shumë më e interesuar për nxjerrjen e shpejtë të të dhënave dhe lëvizjen e shpejtë drejt rrjeteve ushtarake më të vlefshme.