росія націлилася на Android-пристрої українських військових – використовує шкідливе ПЗ Infamous Chisel

Підрозділ російської розвідки атакує пристрої Android українців, використовуючи шкідливе програмне забезпечення під назвою Infamous Chisel. Його мета – викрадення критично важливої інформації. Про це повідомили західні розвідувальні агентства, пише Ars Technica.

Infamous Chisel – це набір компонентів, які забезпечують постійний доступ до зараженого Android-пристрою через мережу Tor, а також періодично збирають та пересилають інформацію про жертву зі скомпрометованих пристроїв.

«Викрадена інформація – це комбінація інформації про системні пристрої, інформації про комерційні додатки та додатки, специфічні для українських військових», – повідомили представники розвідок Великої Британії, США, Канади, Австралії та Нової Зеландії.

Служба безпеки України вперше заявила про шкідливе ПЗ на початку серпня. Тоді українські офіційні особи заявили, що українські військовослужбовці «запобігли доступу російських спецслужб до конфіденційної інформації, зокрема про діяльність Збройних сил, дислокацію сил оборони, їхнє технічне забезпечення тощо».

Infamous Chisel набуває стійкості завдяки тому, що замінює легітимний системний компонент, відомий як netd, на шкідливу версію. Вона дозволяє шкідливому ПЗ запускатися при кожному перезавантаженні пристрою. Крім того, вона стає основним механізмом цього програмного забезпечення. Зібрана на пристрої інформація відправляється на російські сервери.

Для вилучення файлів, що становлять інтерес, Infamous Chisel використовує протокол TLS, а також закодовані IP-адресу та порт. Вважається, що використання локальної IP-адреси є механізмом для передачі мережевого трафіку через VPN або інший захищений канал, який налаштовано на зараженому пристрої. Це забезпечує змішування трафіку проникнення з очікуваним зашифрованим мережевим трафіком.

З-поміж іншого, ПЗ встановлює версію SSH-клієнта Dropbear, який можна використовувати для віддаленого доступу до пристрою.

Поки в західній розвідці не конкретизували, у який саме спосіб Infamous Chisel встановлюється на пристрої. Але експерти зазначають, що ПЗ було створене хакерським угрупуванням Sandworm. Воно відповідальне за атаки NotPetya у 2017 році, а також атаки на українську електромережу.