Злогласни малвер за мобилне уређаје Цхисел

Сајбер оперативци повезани са Главном управом Генералштаба Оружаних снага Руске Федерације, који се обично назива ГРУ, покренули су циљану кампању усмерену на Андроид уређаје у Украјини. Њихово оружје по избору у овој офанзиви је недавно откривена и злослутна претећа алатка названа 'Злогласно длето'.

Овај гадни оквир омогућава хакерима бацкдоор приступ циљаним уређајима преко скривене услуге унутар мреже Тхе Онион Роутер (Тор). Ова услуга даје нападачима могућност скенирања локалних датотека, пресретања мрежног саобраћаја и издвајања осетљивих података.

Украјинска служба безбедности (ССУ) је прво огласила аларм због претње, упозоравајући јавност на покушаје хакерске групе Сандворм да се инфилтрира у војне командне системе користећи овај малвер.

Након тога, и Национални центар за сајбер безбедност Уједињеног Краљевства (НЦСЦ) и Америчка агенција за сајбер безбедност и инфраструктурну безбедност (ЦИСА) су ушли у замршене техничке аспекте злогласног длета. Њихови извештаји бацају светло на његове способности и пружају непроцењиве увиде за јачање одбрамбених мера против ове сајбер претње.

Злогласно длето има широк спектар штетних способности

Инфамоус Цхисел је компромитован од неколико компоненти дизајнираних да успоставе сталну контролу над компромитованим Андроид уређајима преко Тор мреже. Повремено прикупља и преноси податке о жртвама са заражених уређаја.

Након успешног инфилтрирања у уређај, централна компонента, 'нетд', преузима контролу и спремна је да изврши скуп команди и схелл скрипти. Да би се обезбедила трајна постојаност, он замењује легитимни 'нетд' Андроид системски бинарни систем.

Овај малвер је посебно дизајниран да компромитује Андроид уређаје и да пажљиво скенира информације и апликације које се односе на украјинску војску. Сви добијени подаци се затим прослеђују серверима починиоца.

Да би се спречило умножавање послатих датотека, скривена датотека под називом '.гоогле.индек' користи МД5 хешове за праћење пренетих података. Капацитет система је ограничен на 16.384 датотеке, тако да се дупликати могу ексфилтрирати преко овог прага.

Инфамоус Цхисел има широку мрежу када су у питању екстензије датотека, циљајући на опсежну листу укључујући .дат, .бак, .кмл, .ткт, .овпн, .кмл, ва.дб, мсгсторе.дб, .пдф, .клск , .цсв, .зип, телепхони.дб, .пнг, .јпг, .јпег, .кме, датабасе.хик, датабасе.хик-јоурнал, езвизлог.дб, цацхе4.дб, цонтацтс2.дб, .оцк, .гз , .рар, .тар, .7зип, .зип, .кмз, лоцксеттингс.дб, ммссмс.дб, телепхони.дб, сигнал.дб, ммссмс.дб, профиле.дб, аццоунтс.дб, ПироМсг.ДБ, .еке , .кмл. Штавише, скенира интерну меморију уређаја и све доступне СД картице, не остављајући камен на камену у потрази за подацима.

Нападачи могу да користе злогласно длето за добијање осетљивих података

Инфамоус Цхисел малвер спроводи свеобухватно скенирање у оквиру Андроид-овог /дата/ директоријума, тражећи апликације као што су Гоогле Аутхентицатор, ОпенВПН Цоннецт, ПаиПал, Вибер, ВхатсАпп, Сигнал, Телеграм, Гмаил, Цхроме, Фирефок, Браве, Мицрософт Оне Цлоуд, Андроид контакти , и низ других.

Штавише, овај претећи софтвер поседује могућност прикупљања информација о хардверу и скенирања на локалној мрежи како би идентификовао отворене портове и активне хостове. Нападачи могу да добију даљински приступ преко СОЦКС-а и ССХ везе, која се преусмерава преко насумично генерисаног .ОНИОН домена.

Ексфилтрација датотека и података уређаја се дешава у редовним интервалима, тачно сваких 86.000 секунди, што је еквивалентно једном дану. Активности скенирања ЛАН-а се дешавају свака два дана, док се екстракција високо осетљивих војних података одвија много чешће, у интервалима од 600 секунди (сваких 10 минута).

Штавише, планирано је да се конфигурисање и извршавање Тор услуга које олакшавају даљински приступ дешавају сваких 6.000 секунди. Да би одржао мрежну повезаност, малвер врши провере на домену „геодататоо(дот)цом“ свака 3 минута.

Вреди напоменути да злонамерни софтвер Инфамоус Цхисел не даје приоритет прикривености; уместо тога, чини се да је далеко више заинтересована за брзу ексфилтрацију података и брзо кретање ка вреднијим војним мрежама.