Зловмисне програмне забезпечення для мобільних пристроїв Infamous Chisel

Кібероперативники, пов’язані з Головним управлінням Генштабу Збройних сил Російської Федерації, яке зазвичай називають ГРУ, ініціювали цілеспрямовану кампанію проти пристроїв Android в Україні. Їхньою улюбленою зброєю в цьому наступі є нещодавно виявлений і зловісний набір інструментів, який отримав назву «Гнезвісне долото».

Цей неприємний фреймворк надає хакерам бекдорний доступ до цільових пристроїв через приховану службу в мережі The Onion Router (Tor). Ця служба надає зловмисникам можливість сканувати локальні файли, перехоплювати мережевий трафік і витягувати конфіденційні дані.

Першою про загрозу забила тривогу Служба безпеки України (СБУ), яка попередила громадськість про спроби хакерської групи Sandworm проникнути в системи військового управління за допомогою цього шкідливого ПЗ.

Після цього як Національний центр кібербезпеки Великобританії (NCSC), так і Агентство з кібербезпеки та безпеки інфраструктури США (CISA) заглибилися в складні технічні аспекти Infamous Chisel. Їхні звіти проливають світло на його можливості та дають безцінні відомості про посилення заходів захисту від цієї кіберзагрози.

Сумнозвісне долото може похвалитися широким спектром шкідливих можливостей

Infamous Chisel скомпрометовано кількома компонентами, призначеними для встановлення постійного контролю над скомпрометованими пристроями Android через мережу Tor. Періодично він збирає та передає дані жертв із заражених пристроїв.

Після успішного проникнення на пристрій центральний компонент «netd» бере на себе контроль і готовий виконувати набір команд і сценаріїв оболонки. Щоб забезпечити довговічність, він замінює легітимний системний двійковий файл Android "netd".

Це зловмисне програмне забезпечення спеціально розроблене для компрометації пристроїв Android і для ретельного сканування інформації та додатків, що стосуються української армії. Потім усі отримані дані пересилаються на сервери зловмисника.

Щоб запобігти дублюванню надісланих файлів, прихований файл під назвою ".google.index" використовує хеші MD5, щоб стежити за переданими даними. Ємність системи обмежена 16 384 файлами, тому дублікати можуть бути вилучені за межі цього порогу.

Infamous Chisel кидає широку мережу, коли мова заходить про розширення файлів, націлюючись на великий список, включаючи .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml. Крім того, він сканує внутрішню пам’ять пристрою та будь-які доступні SD-карти, не залишаючи каменя на камені в пошуках даних.

Зловмисники можуть використовувати Infamous Chisel для отримання конфіденційних даних

Зловмисне програмне забезпечення Infamous Chisel проводить комплексне сканування в каталозі /data/ Android, шукаючи такі програми, як Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts. та низка інших.

Крім того, це загрозливе програмне забезпечення має здатність збирати інформацію про апаратне забезпечення та виконувати сканування локальної мережі, щоб ідентифікувати відкриті порти та активні хости. Зловмисники можуть отримати віддалений доступ через SOCKS і з’єднання SSH, яке перенаправляється через випадково згенерований домен .ONION.

Викрадання файлів і даних пристрою відбувається через регулярні проміжки часу, точно кожні 86 000 секунд, що еквівалентно одному дню. Сканування локальної мережі відбувається кожні два дні, тоді як вилучення дуже конфіденційних військових даних відбувається набагато частіше, з інтервалом у 600 секунд (кожні 10 хвилин).

Крім того, конфігурація та виконання служб Tor, які полегшують віддалений доступ, планується кожні 6000 секунд. Щоб підтримувати підключення до мережі, зловмисне програмне забезпечення перевіряє домен geodatatoo(dot)com кожні 3 хвилини.

Варто зазначити, що зловмисне програмне забезпечення Infamous Chisel не надає пріоритету прихованості; замість цього, здається, він набагато більше зацікавлений у швидкому викраданні даних і швидкому переході до більш цінних військових мереж.