Вредоносное ПО PJobRAT, изначально ориентированное на военных в Индии, снова активизировалось, на этот раз нацелившись на пользователей Android на Тайване. Специалисты компании Sophos зафиксировали новую кампанию, в рамках которой злоумышленники распространяли вредоносное ПО через поддельные чат-приложения, маскируя его под обычные средства общения.
PJobRAT способен похищать сообщения, контакты, информацию об устройствах, документах, медиафайлах, а также получать доступ к метаданным, журналам вызовов и геолокации. Благодаря разрешениям на доступ к службам специальных возможностей вредоносное ПО также может считывать данные с экрана. Новая версия дополнительно может выполнять команды оболочки, что значительно расширяет возможности контроля над заражённым устройством.
Впервые PJobRAT был задокументирован ещё в 2021 году, однако его активность отслеживалась с конца 2019 года. Ранее вредонос маскировался под приложения для знакомств и мессенджеры, чтобы привлечь жертв.
В одной из прошлых кампаний, как сообщали исследователи из Meta*, распространение PJobRAT было связано с пакистанской группировкой SideCopy, имеющей связи с Transparent Tribe. В качестве приманки использовались фейковые профили девушек, чтобы заманить жертв перейти по фишинговым ссылкам или скачать заражённые приложения.
Согласно отчёту Sophos, вредоносное ПО распространялось через приложения SangaalLite и CChat, размещённые на нескольких сайтах WordPress. Первый обнаруженный экземпляр PJobRAT, связанный с этой кампанией, был выявлен в январе 2023 года. Активная фаза атаки, скорее всего, завершилась в октябре 2024 года, то есть кампания продолжалась почти два года. Несмотря на относительно небольшое количество заражений, эти атаки были целенаправленными, и количество инцидентов находится в пределах нормы.
Вредоносные приложения имели базовую функциональность мессенджера, позволяли пользователям регистрироваться, авторизоваться и обмениваться сообщениями. Это означало, что заражённые пользователи теоретически могли общаться друг с другом, если знали ID собеседника. При запуске приложение связывалось с управляющими серверами (C2), проверяло наличие обновлений и могло загружать новые модули, что обеспечивало длительное присутствие вредоносного ПО на устройствах.
Разработчики обновлённой версии PJobRAT изменили инфраструктуру управления. Теперь вредонос использует два метода связи с C2: HTTP-запросы для загрузки данных и Firebase Cloud Messaging (FCM) для получения команд и передачи информации. Такое сочетание повышает надёжность доставки команд и усложняет обнаружение.
Названия Android-пакетов, использованных в этой кампании, включают: «org.complexy.hard», «com.happyho.app», «sa.aangal.lite» и «net.over.simple». Методы, с помощью которых злоумышленники направляли пользователей на сайты с заражёнными APK-файлами, остаются неизвестными. Однако, учитывая предыдущие случаи, вероятно, использовались методы социальной инженерии.
Эксперты предупреждают, что хотя данная волна атак и завершилась, подобные кампании могут повторяться в изменённом виде. Вредоносное ПО продолжает эволюционировать, а цели атак могут изменяться в зависимости от интересов группировок. Поэтому важно своевременно обновлять средства защиты и быть осторожными при установке незнакомых приложений, особенно тех, что не поступают из официальных магазинов.
PJobRAT способен похищать сообщения, контакты, информацию об устройствах, документах, медиафайлах, а также получать доступ к метаданным, журналам вызовов и геолокации. Благодаря разрешениям на доступ к службам специальных возможностей вредоносное ПО также может считывать данные с экрана. Новая версия дополнительно может выполнять команды оболочки, что значительно расширяет возможности контроля над заражённым устройством.
Впервые PJobRAT был задокументирован ещё в 2021 году, однако его активность отслеживалась с конца 2019 года. Ранее вредонос маскировался под приложения для знакомств и мессенджеры, чтобы привлечь жертв.
В одной из прошлых кампаний, как сообщали исследователи из Meta*, распространение PJobRAT было связано с пакистанской группировкой SideCopy, имеющей связи с Transparent Tribe. В качестве приманки использовались фейковые профили девушек, чтобы заманить жертв перейти по фишинговым ссылкам или скачать заражённые приложения.
Согласно отчёту Sophos, вредоносное ПО распространялось через приложения SangaalLite и CChat, размещённые на нескольких сайтах WordPress. Первый обнаруженный экземпляр PJobRAT, связанный с этой кампанией, был выявлен в январе 2023 года. Активная фаза атаки, скорее всего, завершилась в октябре 2024 года, то есть кампания продолжалась почти два года. Несмотря на относительно небольшое количество заражений, эти атаки были целенаправленными, и количество инцидентов находится в пределах нормы.
Вредоносные приложения имели базовую функциональность мессенджера, позволяли пользователям регистрироваться, авторизоваться и обмениваться сообщениями. Это означало, что заражённые пользователи теоретически могли общаться друг с другом, если знали ID собеседника. При запуске приложение связывалось с управляющими серверами (C2), проверяло наличие обновлений и могло загружать новые модули, что обеспечивало длительное присутствие вредоносного ПО на устройствах.
Разработчики обновлённой версии PJobRAT изменили инфраструктуру управления. Теперь вредонос использует два метода связи с C2: HTTP-запросы для загрузки данных и Firebase Cloud Messaging (FCM) для получения команд и передачи информации. Такое сочетание повышает надёжность доставки команд и усложняет обнаружение.
Названия Android-пакетов, использованных в этой кампании, включают: «org.complexy.hard», «com.happyho.app», «sa.aangal.lite» и «net.over.simple». Методы, с помощью которых злоумышленники направляли пользователей на сайты с заражёнными APK-файлами, остаются неизвестными. Однако, учитывая предыдущие случаи, вероятно, использовались методы социальной инженерии.
Эксперты предупреждают, что хотя данная волна атак и завершилась, подобные кампании могут повторяться в изменённом виде. Вредоносное ПО продолжает эволюционировать, а цели атак могут изменяться в зависимости от интересов группировок. Поэтому важно своевременно обновлять средства защиты и быть осторожными при установке незнакомых приложений, особенно тех, что не поступают из официальных магазинов.
