Infâme logiciel malveillant Chisel Mobile

Des cyber-agents affiliés à la Direction principale de l'état-major des forces armées de la Fédération de Russie, communément appelée GRU, ont lancé une campagne ciblée visant les appareils Android en Ukraine. Leur arme de choix dans cette offensive est une boîte à outils menaçante et récemment découverte, surnommée le « ciseau infâme ».

Ce cadre malveillant permet aux pirates d'accéder par une porte dérobée aux appareils ciblés via un service caché au sein du réseau The Onion Router (Tor). Ce service donne aux attaquants la possibilité d'analyser les fichiers locaux, d'intercepter le trafic réseau et d'extraire des données sensibles.

Le Service de sécurité ukrainien (SSU) a été le premier à tirer la sonnette d'alarme concernant cette menace, en alertant le public sur les tentatives du groupe de piratage Sandworm d'infiltrer les systèmes de commandement militaire à l'aide de ce malware.

Par la suite, le National Cyber Security Centre (NCSC) du Royaume-Uni et l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) se sont penchés sur les aspects techniques complexes de l’Infamous Chisel. Leurs rapports mettent en lumière ses capacités et fournissent des informations inestimables pour renforcer les mesures de défense contre cette cybermenace.

Le tristement célèbre ciseau possède un large éventail de capacités nocives

L'Infamous Chisel est composé de plusieurs composants conçus pour établir un contrôle persistant sur les appareils Android compromis via le réseau Tor. Périodiquement, il collecte et transfère les données des victimes depuis les appareils infectés.

Après avoir réussi à infiltrer un périphérique, le composant central, « netd », prend le contrôle et est prêt à exécuter un ensemble de commandes et de scripts shell. Pour garantir une persistance durable, il supplante le binaire légitime du système Android « netd ».

Ce malware est spécialement conçu pour compromettre les appareils Android et rechercher méticuleusement des informations et des applications relatives à l'armée ukrainienne. Toutes les données acquises sont ensuite transmises aux serveurs de l'auteur du crime.

Pour éviter la duplication des fichiers envoyés, un fichier masqué nommé « .google.index » utilise des hachages MD5 pour garder un œil sur les données transmises. La capacité du système est plafonnée à 16 384 fichiers, les doublons pourraient donc être exfiltrés au-delà de ce seuil.

L'Infamous Chisel ratisse large en ce qui concerne les extensions de fichiers, ciblant une liste complète comprenant .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx. , .csv, .zip, téléphonie.db, .png, .jpg, .jpeg, .kme, base de données.hik, base de données.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, téléphonie.db, signal.db, mmssms.db, profile.db, comptes.db, PyroMsg.DB, .exe , .kml. De plus, il analyse la mémoire interne de l'appareil et toutes les cartes SD disponibles, ne négligeant aucun effort dans sa quête de données.

Les attaquants peuvent utiliser le fameux ciseau pour obtenir des données sensibles

Le malware Infamous Chisel effectue une analyse complète dans le répertoire /data/ d'Android, à la recherche d'applications telles que Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts. , et une panoplie d'autres.

De plus, ce logiciel menaçant possède la capacité de collecter des informations sur le matériel et d'effectuer des analyses sur le réseau local pour identifier les ports ouverts et les hôtes actifs. Les attaquants peuvent obtenir un accès à distance via SOCKS et une connexion SSH, qui est redirigée via un domaine .ONION généré aléatoirement.

L'exfiltration des fichiers et des données des appareils se produit à intervalles réguliers, précisément toutes les 86 000 secondes, soit l'équivalent d'une journée. Les activités d'analyse du réseau local ont lieu tous les deux jours, tandis que l'extraction de données militaires hautement sensibles a lieu beaucoup plus fréquemment, à des intervalles de 600 secondes (toutes les 10 minutes).

De plus, la configuration et l'exécution des services Tor qui facilitent l'accès à distance devraient avoir lieu toutes les 6 000 secondes. Pour maintenir la connectivité réseau, le malware effectue des vérifications sur le domaine « geodatatoo(dot)com » toutes les 3 minutes.

Il convient de noter que le malware Infamous Chisel ne donne pas la priorité à la furtivité ; au lieu de cela, il semble être beaucoup plus intéressé par une exfiltration rapide des données et par une évolution rapide vers des réseaux militaires plus précieux.