.
A equipe russa do Sandworm está usando uma variedade de malware Android chamada Infamous Chisel para acessar remotamente dispositivos de soldados ucranianos, monitorar o tráfego de rede, acessar arquivos e roubar informações confidenciais, de acordo com um relatório da Five Eyes publicado quinta-feira.
A gangue Sandworm, que agências governamentais ocidentais vincularam anteriormente à unidade de inteligência militar russa GRU, estava por trás de um série de ataques levando à sangrenta invasão da vizinha Ucrânia. Eles continuaram infectando os computadores daquele país e de seus aliados com limpadores de dados, ladrões de informações, ransomware e outros códigos maliciosos desde então.
A agência de segurança da Ucrânia detectou e bloqueou a última campanha do Sandworm no início deste mês, quando os capangas cibernéticos apoiados pelo Kremlin tentavam usar o Infamous Chisel para invadir o sistema de troca de dados de combate do exército. Esta tentativa envolveu dez amostras do malware, todas projetadas para roubar dados, de acordo com o Serviço de Segurança da Ucrânia (SBU).
“A resposta operacional da SBU impediu que os serviços de inteligência da Rússia obtivessem acesso a informações sensíveis, incluindo a atividade das Forças Armadas, o destacamento das Forças de Defesa, o seu fornecimento técnico, etc”, disse a agência de segurança ucraniana. disse.
Em outras notícias sobre malware para Android, pesquisadores detectaram aplicativos Signal e Telegram trojanizados para o sistema operacional do Google que poderiam ser usados para roubar dados do usuário.
Os aplicativos, chamados Signal Plus Messenger e FlyGram, foram criados pelo mesmo desenvolvedor e vinculados à gangue estatal chinesa GREF, de acordo com Pesquisa ESET.
Desde então, o Google removeu os aplicativos falsos da Play Store, mas eles ainda estão disponíveis na loja Samsung e em outros mercados de aplicativos on-line de terceiros.
Ambos são construídos com base no código-fonte aberto dos aplicativos oficiais Signal e Telegram, mas associados ao malware BadBazaar – este é o mesmo código malicioso que foi usado no passado para espionar uigures e outras minorias étnicas turcas.
FlyGram extrai detalhes básicos de hardware, algumas informações do Telegram e dados confidenciais do dispositivo, como contatos, registros de chamadas e detalhes da conta do Google.
Além disso, se ativado, o FlyGram fará backup e restaurará os dados do Telegram em um servidor controlado pelo invasor, concedendo aos bisbilhoteiros acesso total a esses backups.
O Signal Plus Messenger, ao mesmo tempo que coleta dados semelhantes do dispositivo, também pode espionar as mensagens do Signal do usuário e extrair o PIN do Signal. De acordo com a ESET, isso marca “o primeiro caso documentado de espionagem nas comunicações Signal de uma vítima, vinculando automaticamente secretamente o dispositivo comprometido ao dispositivo Signal do invasor”.
Nos dias de hoje análise do malware russo, o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), a NSA, a CISA do governo dos EUA, o FBI, o Centro Nacional de Segurança Cibernética da Nova Zelândia (NCSC-NZ), o Centro Canadense de Segurança Cibernética e a Diretoria de Sinais Australiana ( ASD) confirmou os relatos da Ucrânia sobre o novo malware móvel do Sandworm.
Embora os artigos sejam técnicos, forneçam indicadores de comprometimento para aqueles preocupados em detectar o malware e mergulhem no código do software desagradável, não está totalmente claro como ele chega aos telefones dos alvos. Parece que uma maneira é por meio de uma ferramenta de depuração. Parece-nos que os seus operadores russos têm de fazer um grande esforço para colocar o spyware nos telefones dos ucranianos.
Infamous Chisel é uma coleção de componentes projetados para espionar o dispositivo infectado e fornecer acesso backdoor persistente através da rede Tor. Ele faz isso “configurando e executando o Tor com um serviço oculto que encaminha para um binário Dropbear modificado fornecendo uma conexão SSH”, diz o relatório.
Depois de se instalar nos dispositivos móveis das vítimas, o malware ocasionalmente verifica informações e arquivos de interesse dos militares russos e verifica a rede local em busca de hosts ativos e portas abertas.
Ele também rouba e envia dados confidenciais de volta ao GRU, incluindo informações de dispositivos do sistema, informações de aplicativos comerciais e aplicativos específicos para os militares ucranianos.
“A exposição desta campanha maliciosa contra alvos militares ucranianos ilustra como a guerra ilegal da Rússia na Ucrânia continua a ocorrer no ciberespaço”, disse o Diretor de Operações do NCSC, Paul Chichester. disse em um comunicado.
Esta última campanha de malware segue uma série de outros softwares nocivos que o Sandworm usou contra vítimas ucranianas antes e durante a guerra. Isso inclui pelo menos dois tipos de malware de limpeza de disco, CaddyWiper e Industroyer2, além de ataques cibernéticos destrutivos contra um ISP ucraniano e agências de infraestrutura.
No outono passado, o Sandworm infectou “várias organizações na Ucrânia” com ransomware RansomBoggse implantado Ransomware de prestígio contra as redes de logística e transporte na Polónia, segundo investigadores de segurança.
A Ucrânia e as autoridades internacionais continuam a reagir e, em Abril de 2022, o Departamento de Justiça dos EUA revelou detalhes de um retirada autorizada judicialmente da infraestrutura de comando e controle Sandworm usado para se comunicar com dispositivos de rede infectados por seu botnet Cyclops Blink.
O programa Recompensas pela Justiça dos EUA também ofereceu um Recompensa de US$ 10 milhões para oficiais do GRU ligados à gangue Sandworm. ®
.
