Совместный консультативный отчет показал, что новое российское вредоносное ПО Infamous Chisel используется, среди прочего, для атак на криптовалютные кошельки и приложения для обмена данными.
Отчет стал результатом совместных усилий Федерального бюро расследований (ФБР), Агентства национальной безопасности (АНБ), Агентства кибербезопасности и безопасности инфраструктуры (CISA), Национального центра кибербезопасности (NCSC), входящего в состав GCHQ Великобритании.
Согласно отчету, вредоносное ПО связано с деятельностью хакерского подразделения российской военной разведки ГРУ, известного как Sandworm, которое нацелено на украинских военных. Он предназначен для обеспечения постоянного доступа к взломанному устройству Android через сеть Tor и периодического сбора и отправки данных жертвы с затронутых устройств.
В рамках несанкционированного копирования, передачи или получения данных вредоносная программа ищет на устройстве определенные каталоги приложений, в том числе относящиеся к браузеру web3 Brave, приложениям Binance и Coinbase, криптокошельку Trust и коммуникационным платформам Telegram и Discord. Он также нацелен на систему Android Keystore, которая позволяет пользователям хранить закрытые ключи и извлекать каждый файл в каталогах.
Согласно отчету, компоненты, используемые Infamous Chisel, имеют низкую и среднюю сложность и разработаны без особого внимания к сокрытию вредоносной деятельности. «Хотя в компонентах отсутствуют базовые методы запутывания или скрытности для маскировки активности, злоумышленник, возможно, счел это ненужным, поскольку многие устройства Android не имеют хостовой системы обнаружения», — заявили в агентствах.
Однако «даже при отсутствии функций сокрытия эти компоненты представляют серьезную угрозу из-за воздействия информации, которую они могут собирать», — добавили они.
Поскольку цифровые активы становятся все более ценными, киберпреступники разрабатывают новые методы взлома протоколов безопасности. В прошлом месяце исследователи безопасности выпустили предупреждения о вредоносном ПО, направленном, например, на кражу криптоактивов пользователей Apple с помощью поддельных игр с блокчейном.
