Ρώσοι hackers που εργάζονται για την Κεντρική Διεύθυνση του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ρωσικής Ομοσπονδίας (GRU), στοχεύουν συσκευές Android στην Ουκρανία με ένα νέο κακόβουλο framewrok που ονομάζεται “Infamous Chisel“.

Αυτό το toolkit παρέχει στους hackers backdoor access μέσω μιας υπηρεσίας που είναι κρυμμένη στο δίκτυο Tor. Το εργαλείο επιτρέπει στους επιτιθέμενους να σαρώνουν τοπικά αρχεία, να παρακολουθούν την κυκλοφορία του δικτύου και να εκμεταλλεύονται δεδομένα.

Η Ουκρανική Υπηρεσία Ασφαλείας (SSU) προειδοποίησε πρόσφατα για αυτό το Infamous Chisel toolkit. Η SSU είχε κάνει λόγο για τις προσπάθειες της ομάδας hacking Sandworm να διεισδύσει σε συστήματα στρατιωτικής διοίκησης.

Δείτε επίσης: Trojanized Signal και Telegram apps μόλυναν χρήστες με το BadBazaar spyware

Νέες αναφορές από το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) και την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) παρέχουν τώρα περισσότερες τεχνικές λεπτομέρειες για το Infamous Chisel.

Infamous Chisel: Τεχνικές λεπτομέρειες

Το NCSC περιγράφει το Infamous Chisel ως “μια συλλογή components που επιτρέπουν τη μόνιμη πρόσβαση σε μια μολυσμένη συσκευή Android μέσω του δικτύου Tor, και η οποία συγκεντρώνει περιοδικά και εξάγει πληροφορίες θυμάτων από παραβιασμένες συσκευές“.

Κατά τη μόλυνση, το κύριο component, το “netd“, το οποίο ελέγχει ένα σύνολο εντολών και shell scripts, αντικαθιστά το νόμιμο netd Android system binary για να επιτύχει persistence.

Όπως είπαμε και παραπάνω, το κακόβουλο λογισμικό στοχεύει συσκευές Android. Επιτρέπει τη σάρωση για τον εντοπισμό πληροφοριών και εφαρμογών που σχετίζονται με τον ουκρανικό στρατό και τις στέλνει στους διακομιστές του εισβολέα.

Ένα κρυφό αρχείο (“google.index”) παρακολουθεί τα αρχεία που αποστέλλονται στους hackers χρησιμοποιώντας MD5 hashes για την αποφυγή διπλών δεδομένων.

Δείτε επίσης: Αυξάνεται η δραστηριότητα του DarkGate malware

Το Infamous Chisel framework στοχεύει τις παρακάτω επεκτάσεις αρχείων και οι κατάλογοι που σαρώνει περιλαμβάνουν την εσωτερική μνήμη της συσκευής και τυχόν διαθέσιμες κάρτες SD.

Ο κατάλογος /data/ του Android σαρώνεται για έλεγχο εφαρμογών, όπως τα Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsft One Cloud, Android Contacts και πολλά άλλα.

Το κακόβουλο λογισμικό μπορεί, επίσης, να συλλέξει πληροφορίες hardware και να διερευνήσει το τοπικό δίκτυο για ανοιχτές θύρες και ενεργούς κεντρικούς υπολογιστές. Μπορεί, ακόμα, να δώσει στους εισβολείς απομακρυσμένη πρόσβαση μέσω SOCKS και μιας σύνδεσης SSH που διέρχεται από ένα randomly generated .ONION domain.

Η εξαγωγή δεδομένων πραγματοποιείται κάθε 86.000 δευτερόλεπτα και η σάρωση LAN πραγματοποιείται κάθε δύο ημέρες. Τα πιο κρίσιμα στρατιωτικά δεδομένα συλλέγονται πολύ πιο συχνά (κάθε 600 δευτερόλεπτα).

Το NCSC σημειώνει ότι το Infamous Chisel φαίνεται να στοχεύει στη γρήγορη κλοπή δεδομένων και στη στόχευση σε πιο πολύτιμα στρατιωτικά δίκτυα. Ωστόσο, τα εργαλεία που χρησιμοποιούνται είναι χαμηλής πολυπλοκότητας.

Δείτε επίσης: DreamBus malware: Εκμεταλλεύεται μια ευπάθεια του RocketMQ για να μολύνει servers

Το malware που στοχεύει τα Android κινητά τηλέφωνα αποτελεί ένα σημαντικό πρόβλημα ασφαλείας που αντιμετωπίζουμε στην εποχή της ψηφιακής τεχνολογίας. Με τον διαρκώς αυξανόμενο αριθμό των χρηστών Android στον κόσμο, οι ευκαιρίες για τους επιτιθέμενους να εισβάλλουν στις συσκευές αυτές είναι επίσης στα ύψη. Το Android malware μπορεί να προσβάλλει το σύστημα λειτουργίας ενός τηλεφώνου και να κλέψει σημαντικά δεδομένα. Οι επιθέσεις αυτές απαιτούν αποτελεσματικά μέτρα ασφαλείας και ενημέρωση για την προστασία της ψηφιακής μας ιδιοκτησίας.

Πηγή: www.bleepingcomputer.com