Berüchtigte mobile Chisel-Malware

Cyber-Agenten der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation, allgemein als GRU bezeichnet, haben eine gezielte Kampagne gegen Android-Geräte in der Ukraine gestartet. Ihre bevorzugte Waffe in dieser Offensive ist ein kürzlich entdecktes und bedrohliches Werkzeugset namens „Berüchtigter Meißel“.

Dieses fiese Framework ermöglicht den Hackern über einen versteckten Dienst innerhalb des Onion Router (Tor)-Netzwerks Hintertürzugriff auf die Zielgeräte. Dieser Dienst bietet Angreifern die Möglichkeit, lokale Dateien zu scannen, Netzwerkverkehr abzufangen und sensible Daten zu extrahieren.

Der Ukrainische Sicherheitsdienst (SSU) schlug zunächst Alarm wegen der Bedrohung und machte die Öffentlichkeit auf die Bemühungen der Hackergruppe Sandworm aufmerksam, mit dieser Malware militärische Kommandosysteme zu infiltrieren.

Anschließend haben sich sowohl das britische National Cyber Security Centre (NCSC) als auch die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) intensiv mit den komplizierten technischen Aspekten des berüchtigten Meißels befasst. Ihre Berichte beleuchten seine Fähigkeiten und liefern unschätzbare Erkenntnisse zur Stärkung der Abwehrmaßnahmen gegen diese Cyber-Bedrohung.

Der berüchtigte Meißel verfügt über eine Vielzahl schädlicher Fähigkeiten

Der berüchtigte Chisel besteht aus mehreren kompromittierten Komponenten, die darauf ausgelegt sind, über das Tor-Netzwerk eine dauerhafte Kontrolle über kompromittierte Android-Geräte zu erlangen. Es sammelt und überträgt regelmäßig Opferdaten von den infizierten Geräten.

Nach erfolgreicher Infiltration eines Geräts übernimmt die zentrale Komponente „netd“ die Kontrolle und ist bereit, eine Reihe von Befehlen und Shell-Skripten auszuführen. Um eine dauerhafte Persistenz zu gewährleisten, ersetzt es die legitime Android-Systembinärdatei „netd“.

Diese Malware wurde speziell dafür entwickelt, Android-Geräte zu kompromittieren und akribisch nach Informationen und Anwendungen im Zusammenhang mit dem ukrainischen Militär zu suchen. Alle erfassten Daten werden dann an die Server des Täters weitergeleitet.

Um die Duplizierung gesendeter Dateien zu verhindern, verwendet eine versteckte Datei namens „.google.index“ MD5-Hashes, um die übertragenen Daten im Auge zu behalten. Die Kapazität des Systems ist auf 16.384 Dateien begrenzt, sodass über diesen Schwellenwert hinaus Duplikate herausgefiltert werden könnten.

Der berüchtigte Meißel wirft ein weites Netz aus, wenn es um Dateierweiterungen geht, und zielt auf eine umfangreiche Liste ab, darunter .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, Database.hik, Database.hik-Journal, ezvizlog.db, Cache4.db, Contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, Profile.db, Accounts.db, PyroMsg.DB, .exe , .kml. Darüber hinaus scannt es den internen Speicher des Geräts und alle verfügbaren SD-Karten und lässt bei der Suche nach Daten nichts unversucht.

Angreifer können den berüchtigten Meißel nutzen, um an sensible Daten zu gelangen

Die berüchtigte Chisel-Malware führt einen umfassenden Scan im /data/-Verzeichnis von Android durch und sucht nach Anwendungen wie Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud und Android-Kontakten und eine Reihe anderer.

Darüber hinaus verfügt diese bedrohliche Software über die Fähigkeit, Hardwareinformationen zu sammeln und Scans im lokalen Netzwerk durchzuführen, um offene Ports und aktive Hosts zu identifizieren. Angreifer können über SOCKS und eine SSH-Verbindung, die über eine zufällig generierte .ONION-Domäne umgeleitet wird, Fernzugriff erlangen.

Die Exfiltration von Dateien und Gerätedaten erfolgt in regelmäßigen Abständen, genau alle 86.000 Sekunden, was einem Tag entspricht. LAN-Scan-Aktivitäten finden alle zwei Tage statt, während die Extraktion hochsensibler militärischer Daten weitaus häufiger erfolgt, und zwar in Abständen von 600 Sekunden (alle 10 Minuten).

Darüber hinaus ist die Konfiguration und Ausführung von Tor-Diensten, die den Fernzugriff ermöglichen, alle 6.000 Sekunden geplant. Um die Netzwerkkonnektivität aufrechtzuerhalten, führt die Malware alle 3 Minuten Überprüfungen der Domäne „geodatatoo(dot)com“ durch.

Es ist erwähnenswert, dass die Schadsoftware „Infamous Chisel“ keine Priorität auf Heimlichkeit legt; Stattdessen scheint es viel mehr an einer schnellen Datenexfiltration und einem schnellen Übergang zu wertvolleren militärischen Netzwerken interessiert zu sein.