El infame malware móvil Chisel

Los agentes cibernéticos afiliados a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa, comúnmente conocidos como GRU, han iniciado una campaña dirigida a dispositivos Android dentro de Ucrania. Su arma preferida en esta ofensiva es un siniestro y amenazador conjunto de herramientas recientemente descubierto llamado "Cincel Infame".

Este desagradable marco permite a los piratas informáticos acceder por puerta trasera a los dispositivos objetivo a través de un servicio oculto dentro de la red The Onion Router (Tor). Este servicio otorga a los atacantes la capacidad de escanear archivos locales, interceptar el tráfico de la red y extraer datos confidenciales.

El Servicio de Seguridad de Ucrania (SSU) fue el primero en dar la alarma sobre la amenaza, alertando al público sobre los intentos del grupo de hackers Sandworm de infiltrarse en los sistemas de mando militar utilizando este malware.

Posteriormente, tanto el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) han profundizado en los intrincados aspectos técnicos del Infamous Chisel. Sus informes arrojan luz sobre sus capacidades y proporcionan información invaluable para reforzar las medidas de defensa contra esta amenaza cibernética.

El infame cincel cuenta con una amplia gama de capacidades dañinas

El Infamous Chisel está comprometido con varios componentes diseñados para establecer un control persistente sobre los dispositivos Android comprometidos a través de la red Tor. Periódicamente, recopila y transfiere datos de las víctimas desde los dispositivos infectados.

Al infiltrarse con éxito en un dispositivo, el componente central, 'netd', asume el control y está listo para ejecutar un conjunto de comandos y scripts de shell. Para garantizar una persistencia duradera, reemplaza el binario legítimo del sistema Android 'netd'.

Este malware está diseñado específicamente para comprometer dispositivos Android y escanear meticulosamente información y aplicaciones relacionadas con el ejército ucraniano. Luego, todos los datos adquiridos se envían a los servidores del perpetrador.

Para evitar la duplicación de archivos enviados, un archivo oculto llamado '.google.index' emplea hashes MD5 para controlar los datos transmitidos. La capacidad del sistema tiene un límite de 16.384 archivos, por lo que los duplicados podrían exfiltrarse más allá de este umbral.

The Infamous Chisel lanza una amplia red cuando se trata de extensiones de archivos, apuntando a una lista extensa que incluye .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx , .csv, .zip, telefonía.db, .png, .jpg, .jpeg, .kme, base de datos.hik, base de datos.hik-journal, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telefonía.db, signal.db, mmssms.db, perfil.db, cuentas.db, PyroMsg.DB, .exe , .kml. Además, escanea la memoria interna del dispositivo y las tarjetas SD disponibles, sin dejar piedra sin remover en su búsqueda de datos.

Los atacantes pueden utilizar el infame cincel para obtener datos confidenciales

El malware Infamous Chisel realiza un escaneo completo dentro del directorio /data/ de Android, buscando aplicaciones como Google Authenticator, OpenVPN Connect, PayPal, Viber, WhatsApp, Signal, Telegram, Gmail, Chrome, Firefox, Brave, Microsoft One Cloud, Android Contacts. y una variedad de otros.

Además, este software amenazante posee la capacidad de recopilar información de hardware y realizar escaneos en la red de área local para identificar puertos abiertos y hosts activos. Los atacantes pueden obtener acceso remoto a través de SOCKS y una conexión SSH, que se redirige a través de un dominio .ONION generado aleatoriamente.

La exfiltración de archivos y datos de dispositivos se produce a intervalos regulares, exactamente cada 86.000 segundos, el equivalente a un día. Las actividades de escaneo de LAN se realizan cada dos días, mientras que la extracción de datos militares altamente confidenciales se realiza con mucha más frecuencia, a intervalos de 600 segundos (cada 10 minutos).

Además, la configuración y ejecución de los servicios Tor que facilitan el acceso remoto está programada para realizarse cada 6.000 segundos. Para mantener la conectividad de la red, el malware realiza comprobaciones en el dominio 'geodatatoo(punto)com' cada 3 minutos.

Vale la pena señalar que el malware Infamous Chisel no prioriza el sigilo; en cambio, parece estar mucho más interesado en una rápida filtración de datos y en avanzar rápidamente hacia redes militares más valiosas.