Ökänd mobil skadlig programvara för Chisel

Cyberoperatörer knutna till huvuddirektoratet för generalstaben för Ryska federationens väpnade styrkor, vanligtvis kallad GRU, har initierat en riktad kampanj riktad mot Android-enheter i Ukraina. Deras valvapen i den här offensiven är en nyligen upptäckt och olycksbådande hotfull verktygslåda kallad "Ökänd mejsel".

Detta otäcka ramverk ger hackarna tillgång till bakdörren till de riktade enheterna via en dold tjänst inom nätverket The Onion Router (Tor). Den här tjänsten ger angriparna möjligheten att skanna lokala filer, avlyssna nätverkstrafik och extrahera känslig data.

Den ukrainska säkerhetstjänsten (SSU) slog först larm om hotet och uppmärksammade allmänheten på Sandworm-hackningsgruppens ansträngningar att infiltrera militära ledningssystem med denna skadliga programvara.

Efteråt har både UK National Cyber Security Center (NCSC) och US Cybersecurity and Infrastructure Security Agency (CISA) fördjupat sig i de intrikata tekniska aspekterna av Infamous Chisel. Deras rapporter kastar ljus över dess kapacitet och ger ovärderliga insikter för att stärka försvarsåtgärder mot detta cyberhot.

Den ökända mejseln har ett brett utbud av skadliga egenskaper

The Infamous Chisel är äventyrad av flera komponenter som är utformade för att etablera en ihållande kontroll över komprometterade Android-enheter via Tor-nätverket. Regelbundet samlar den in och överför offerdata från de infekterade enheterna.

Efter framgångsrik infiltrering av en enhet tar den centrala komponenten, 'netd', kontrollen och är redo att utföra en uppsättning kommandon och skalskript. För att säkerställa varaktig uthållighet ersätter den den legitima "netd" Android-systemets binär.

Denna skadliga programvara är speciellt utformad för att äventyra Android-enheter och för att noggrant söka efter information och applikationer som hänför sig till den ukrainska militären. All inhämtad data vidarebefordras sedan till gärningsmannens servrar.

För att förhindra duplicering av skickade filer använder en dold fil med namnet '.google.index' MD5-hashar för att hålla koll på överförd data. Systemets kapacitet är begränsad till 16 384 filer, så dubbletter kan exfiltreras bortom denna tröskel.

The Infamous Chisel kastar ett brett nät när det kommer till filtillägg och riktar sig till en omfattande lista med .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telefoni.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefoni.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Dessutom skannar den enhetens interna minne och alla tillgängliga SD-kort, och lämnar ingen sten ovänd i sin strävan efter data.

Angripare kan använda den ökända mejseln för att få känsliga data

Skadlig programvara Infamous Chisel genomför en omfattande genomsökning i Androids /data/-katalog och söker efter applikationer som Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , och en rad andra.

Dessutom har denna hotfulla programvara förmågan att samla in hårdvaruinformation och utföra skanningar på det lokala nätverket för att identifiera öppna portar och aktiva värdar. Angripare kan få fjärråtkomst genom SOCKS och en SSH-anslutning, som omdirigeras genom en slumpmässigt genererad .ONION-domän.

Exfiltreringen av filer och enhetsdata sker med regelbundna intervall, exakt var 86 000:e sekund, motsvarande en dag. LAN-skanningsaktiviteter sker varannan dag, medan utvinningen av mycket känslig militär data sker mycket oftare, med intervaller på 600 sekunder (var 10:e minut).

Dessutom är konfigurationen och exekveringen av Tor-tjänster som underlättar fjärråtkomst planerad att ske var 6 000:e sekund. För att upprätthålla nätverksanslutning utför skadlig programvara kontroller på 'geodatatoo(dot)com'-domänen var tredje minut.

Det är värt att notera att skadlig programvara Infamous Chisel inte prioriterar smygande; istället verkar det vara mycket mer intresserad av snabb dataexfiltrering och snabbt gå mot mer värdefulla militära nätverk.