Uma família de malware para Android, observada anteriormente atacando pessoal militar na Índia, foi ligada a uma nova campanha provavelmente destinada a usuários em Taiwan, sob a aparência de aplicativos de chat.
"PJobRAT pode roubar mensagens SMS, contatos telefônicos, informações do dispositivo e dos aplicativos, documentos e arquivos de mídia de dispositivos Android infectados", disse o pesquisador de segurança da Sophos, Pankaj Kohli, em uma análise de quinta-feira(27).
Documentado pela primeira vez em 2021, o PJobRAT tem um histórico de uso contra alvos relacionados ao militar indiano.
Iterações subsequentes do malware foram descobertas se disfarçando como aplicativos de namoro e de mensagens instantâneas para enganar vítimas em potencial.
Ele é conhecido por estar ativo desde pelo menos o final de 2019.
Em novembro de 2021, a Meta atribuiu a um ator de ameaças alinhado ao Paquistão, apelidado de SideCopy — acredita-se ser um subgrupo dentro do Transparent Tribe — o uso do PJobRAT e do Mayhem como parte de ataques altamente direcionados contra pessoas no Afeganistão, especificamente aquelas com laços com o governo, militar e aplicação da lei.
"Este grupo criou personas fictícias — tipicamente mulheres jovens — como iscas românticas para construir confiança com alvos potenciais e enganá-los, fazendo com que clicassem em links de phishing ou baixassem aplicativos maliciosos de chat", disse a Meta na época.
O PJobRAT é equipado para colher metadados do dispositivo, listas de contatos, mensagens de texto, logs de chamadas, informações de localização e arquivos de mídia no dispositivo ou em armazenamento externo conectado.
Ele também é capaz de abusar das permissões de seus serviços de acessibilidade para raspar conteúdo na tela do dispositivo.
Dados de telemetria coletados pela Sophos mostram que a campanha mais recente mirou em usuários Android em Taiwan, usando aplicativos de chat maliciosos chamados SangaalLite e CChat para ativar a sequência de infecção.
Diz-se que estes estavam disponíveis para download de múltiplos sites WordPress, com o artefato mais antigo datado de janeiro de 2023.
A campanha, conforme a empresa de cibersegurança, terminou ou, pelo menos, fez uma pausa, por volta de outubro de 2024, o que significa que esteve operacional por quase dois anos.
Dito isso, o número de infecções foi relativamente pequeno, sugerindo a natureza direcionada da atividade.
Os nomes dos pacotes Android estão listados abaixo:
org.complexy.hard
com.happyho.app
sa.aangal.lite
net.over.simple
Atualmente, não se sabe como as vítimas foram enganadas a visitar esses sites, embora, se campanhas anteriores são alguma indicação, é provável que tenha um elemento de engenharia social.
Uma vez instalados, os aplicativos solicitam permissões intrusivas que lhes permitem coletar dados e rodar ininterruptamente em segundo plano.
"Os aplicativos têm uma funcionalidade básica de chat integrada, permitindo aos usuários se registrar, fazer login e conversar com outros usuários (então, teoricamente, usuários infectados poderiam ter se mensageado, se soubessem os IDs de usuário uns dos outros)", disse Kohli.
Eles também verificam os servidores de comando e controle (C2) para atualizações no início, permitindo ao ator de ameaça instalar atualizações de malware.
Ao contrário das versões anteriores do PJobRAT que tinham a capacidade de roubar mensagens do WhatsApp, o sabor mais recente adota uma abordagem diferente, incorporando um novo recurso para executar comandos shell.
Isso não apenas permite aos atacantes provavelmente sifonar chats do WhatsApp, mas também exercer um controle maior sobre os telefones infectados.
Outra atualização diz respeito ao mecanismo de comando e controle (C2), com o malware agora usando duas abordagens diferentes, usando HTTP para fazer upload de dados da vítima e o Firebase Cloud Messaging (FCM) para enviar comandos shell, bem como exfiltrar informações.
"Embora esta campanha particular possa ter terminado, ela é uma boa ilustração do fato de que atores de ameaças frequentemente retrabalham e redirecionam após uma campanha inicial – fazendo melhorias em seu malware e ajustando sua abordagem – antes de atacar novamente", disse Kohli.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...