Nakakahiyang Chisel Mobile Malware

Ang mga cyber operative na kaanib sa Main Directorate ng General Staff ng Russian Federation Armed Forces, na karaniwang tinutukoy bilang GRU, ay nagpasimula ng naka-target na kampanya na naglalayong sa mga Android device sa loob ng Ukraine. Ang kanilang napiling sandata sa opensibong ito ay isang kamakailang natuklasan at nagbabantang toolkit na tinatawag na 'Infamous Chisel.'

Ang masamang balangkas na ito ay nagbibigay ng access sa backdoor ng mga hacker sa mga naka-target na device sa pamamagitan ng isang nakatagong serbisyo sa loob ng network ng Onion Router (Tor). Ang serbisyong ito ay nagbibigay sa mga umaatake ng kakayahang mag-scan ng mga lokal na file, humarang sa trapiko sa network, at kumuha ng sensitibong data.

Ang Ukrainian Security Service (SSU) ay unang nagpatunog ng alarma tungkol sa banta, na inaalerto ang publiko sa mga pagsisikap ng Sandworm hacking group na makalusot sa mga military command system gamit ang malware na ito.

Pagkaraan, kapwa ang UK National Cyber Security Center (NCSC) at ang US Cybersecurity and Infrastructure Security Agency (CISA) ay nakipag-usap sa masalimuot na teknikal na aspeto ng Infamous Chisel. Ang kanilang mga ulat ay nagbibigay-liwanag sa mga kakayahan nito at nagbibigay ng napakahalagang mga insight upang palakasin ang mga hakbang sa pagtatanggol laban sa banta sa cyber na ito.

Ipinagmamalaki ng Infamous Chisel ang Maraming Mapanganib na Kakayahan

Ang Infamous Chisel ay nakompromiso ng ilang bahagi na idinisenyo upang magtatag ng patuloy na kontrol sa mga nakompromisong Android device sa pamamagitan ng Tor network. Pana-panahon, kinokolekta at inililipat nito ang data ng biktima mula sa mga nahawaang device.

Sa matagumpay na paglusot sa isang device, ang gitnang bahagi, ang 'netd,' ay kumokontrol at handang magsagawa ng isang hanay ng mga command at shell script. Upang matiyak ang pangmatagalang pagtitiyaga, pinapalitan nito ang lehitimong 'netd' Android system binary.

Ang malware na ito ay partikular na idinisenyo upang ikompromiso ang mga Android device at masusing mag-scan para sa impormasyon at mga application na nauukol sa Ukrainian military. Ang lahat ng nakuhang data ay ipapasa sa mga server ng may kasalanan.

Upang maiwasan ang pagdoble ng mga naipadalang file, ang isang nakatagong file na pinangalanang '.google.index' ay gumagamit ng mga hash ng MD5 upang masubaybayan ang ipinadalang data. Ang kapasidad ng system ay nililimitahan sa 16,384 na mga file, kaya ang mga duplicate ay maaaring ma-exfiltrate lampas sa threshold na ito.

Ang Infamous Chisel ay nagbibigay ng malawak na net pagdating sa mga extension ng file, na nagta-target ng malawak na listahan kasama ang .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Higit pa rito, ini-scan nito ang panloob na memorya ng device at anumang available na SD card, na hindi nag-iiwan ng anumang bagay sa paghahanap nito para sa data.

Maaaring Gamitin ng mga Attacker ang Infamous Chisel para Makakuha ng Sensitibong Data

Ang Infamous Chisel malware ay nagsasagawa ng komprehensibong pag-scan sa loob ng /data/ directory ng Android, naghahanap ng mga application tulad ng Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts , at isang hanay ng iba pa.

Bukod dito, ang nagbabantang software na ito ay nagtataglay ng kakayahang mangolekta ng impormasyon ng hardware at magsagawa ng mga pag-scan sa lokal na network ng lugar upang makilala ang mga bukas na port at mga aktibong host. Ang mga attacker ay maaaring makakuha ng malayuang pag-access sa pamamagitan ng SOCKS at isang SSH na koneksyon, na ini-rerouted sa pamamagitan ng random na nabuong .ONION na domain.

Ang exfiltration ng mga file at data ng device ay nangyayari sa mga regular na pagitan, tiyak bawat 86,000 segundo, ang katumbas ng isang araw. Ang mga aktibidad sa pag-scan ng LAN ay nangyayari tuwing dalawang araw, habang ang pagkuha ng napakasensitibong data ng militar ay nagaganap nang mas madalas, sa pagitan ng 600 segundo (bawat 10 minuto).

Higit pa rito, ang pagsasaayos at pagpapatupad ng mga serbisyo ng Tor na nagpapadali sa malayuang pag-access ay naka-iskedyul na mangyari bawat 6,000 segundo. Upang mapanatili ang pagkakakonekta sa network, nagsasagawa ang malware ng mga pagsusuri sa domain na 'geodatatoo(dot)com' bawat 3 minuto.

Ito ay nagkakahalaga ng noting na ang Infamous Chisel malware ay hindi priyoridad stealthiness; sa halip, mukhang mas interesado ito sa mabilis na pag-exfiltrate ng data at mabilis na lumipat patungo sa mas mahalagang mga network ng militar.