El jueves pasado, agencias de inteligencia occidentales informaron que la unidad de inteligencia militar de Rusia ha estado apuntando a dispositivos Android ucranianos con un nuevo malware llamado "Infamous Chisel". Este malware está diseñado para infiltrarse en los dispositivos y robar información crítica. Funciona como una puerta trasera que permite un acceso persistente al dispositivo infectado a través de la red Tor, recopilando y enviando periódicamente información de las víctimas a servidores rusos. Esta información incluye datos del sistema del dispositivo, información de aplicaciones comerciales y aplicaciones específicas del ejército ucraniano.

La seguridad de Ucrania fue la primera en denunciar este malware a principios de este mes. En ese momento, los funcionarios ucranianos afirmaron que habían evitado que los servicios de inteligencia rusos accedieran a información sensible, incluyendo la actividad de las Fuerzas Armadas, el despliegue de las Fuerzas de Defensa, su provisión técnica, entre otros.

El malware Infamous Chisel logra la persistencia reemplazando el componente del sistema legítimo conocido como netd con una versión maliciosa. Además de permitir que Infamous Chisel se ejecute cada vez que se reinicia el dispositivo, el netd malicioso es el motor principal del malware. Utiliza scripts y comandos de shell para recopilar información del dispositivo y buscar archivos con extensiones predefinidas en directorios específicos.

Dependiendo de la ubicación en el dispositivo infectado, el netd envía los archivos recopilados a servidores rusos, ya sea de inmediato o una vez al día.

Cuando Infamous Chisel extrae archivos de interés, utiliza el protocolo TLS y una dirección IP y puerto codificados. El uso de la dirección IP local probablemente sea un mecanismo para transmitir el tráfico de red a través de una VPN u otro canal seguro configurado en el dispositivo infectado, lo que permitiría que el tráfico de exfiltración se mezcle con el tráfico de red cifrado esperado. En caso de que falle la conexión a la dirección IP y puerto local, el malware utiliza un dominio codificado en duro que se resuelve mediante una solicitud a dns.google.

Infamous Chisel también instala una versión modificada del cliente Dropbear SSH que se puede utilizar para acceder de forma remota al dispositivo. Esta versión modificada tiene mecanismos de autenticación diferentes a la versión original, cambiando la forma en que los usuarios inician sesión en una sesión SSH.

Los funcionarios que escribieron el informe mencionado afirman lo siguiente:

"Los componentes de Infamous Chisel tienen un nivel de sofisticación bajo a medio y parecen haber sido desarrollados sin tener en cuenta la evasión de defensas o el ocultamiento de actividades maliciosas.
 
La búsqueda de archivos y directorios específicos relacionados con aplicaciones militares y la exfiltración de estos datos refuerzan la intención de acceder a estas redes. Aunque los componentes carecen de técnicas básicas de ofuscación o sigilo para disfrazar la actividad, es posible que el actor haya considerado que esto no era necesario, dado que muchos dispositivos Android no tienen un sistema de detección basado en el host. Infamous Chisel presenta dos técnicas interesantes:

La sustitución del ejecutable legítimo netd para mantener la persistencia

La modificación de la función de autenticación en los componentes que incluyen Dropbear

Estas técnicas requieren un buen conocimiento de C++ para realizar las modificaciones y una comprensión de la autenticación y los mecanismos de arranque en Linux.
A pesar de la falta de funciones de ocultamiento, estos componentes representan una amenaza grave debido al impacto de la información que pueden recopilar."

El informe no menciona cómo se instala el malware. En el aviso emitido por la seguridad de Ucrania a principios de este mes, los funcionarios mencionaron que el personal ruso había "capturado tabletas ucranianas en el campo de batalla con el objetivo de propagar malware y aprovechar el acceso disponible para penetrar en el sistema". No está claro si esta fue la forma en que se propagó el malware.

El informe indica que Infamous Chisel fue creado por un grupo de amenazas conocido como Sandworm. Sandworm es uno de los hackers más hábiles y despiadados del mundo y ha estado detrás de algunos de los ataques más destructivos de la historia. El grupo ha sido definitivamente vinculado a los ataques de borrado NotPetya en 2017, un brote global que, según una evaluación de la Casa Blanca, causó daños por valor de 10 mil millones de dólares, convirtiéndolo en el hack más costoso de la historia. Sandworm también ha sido vinculado definitivamente a los ataques a la red eléctrica de Ucrania que causaron apagones generalizados durante los meses más fríos de 2016 y 2017.