Вирус PJobRAT, известный своими атаками на индийских военных, теперь используется для нацеливания на пользователей Android в Тайване через поддельные чат-приложения. Кампания маскирует вредоносное ПО под популярные сервисы для общения и заставляет жертв загружать заражённые приложения.
PJobRAT впервые был зафиксирован в 2021 году, однако существует с конца 2019 года. Ранние версии вируса использовались против военнослужащих Индии, а в ноябре 2021 М⃰ приписала атаки этому семейству вместе с вредоносом Mayhem угрожающему субъекту SideCopy, связанному с группировкой Transparent Tribe, действовавшей в Афганистане против сотрудников государственных и правоохранительных органов.
Вирус обладает широким спектром функций: он похищает SMS-сообщения, контакты, сведения об установленных приложениях, документы и мультимедийные файлы. Дополнительно, PJobRAT собирает данные о метаданных устройств, текстовых сообщениях, журналах звонков, информации о местоположении и даже может запускать shell-команды для доступа к чатам WhatsApp, обеспечивая тем самым расширенный контроль над заражёнными устройствами.
Новейшая кампания направлена на тайваньских пользователей благодаря приложениям SangaalLite и CChat, распространяемым через различные WordPress-сайты. Появление первого артефакта было зафиксировано в январе 2023 года, а по данным телеметрии кампания продлилась почти два года, завершившись или поставив на паузу около октября 2024 года.
Заражение происходит посредством методов социальной инженерии, которые заставляют пользователей перейти на заражённые сайты. После установки приложения запрашивают доступ к широкому спектру разрешений, что позволяет вирусу работать в фоновом режиме и собирать информацию, а также включать встроенную чат-функциональность, позволяющую пользователям регистрироваться и общаться, при этом осуществляя проверку серверов команд и контроля.
Новая версия PJobRAT использует две схемы командно-контрольных серверов: HTTP для выгрузки данных с устройств и Firebase Cloud Messaging для отправки shell-команд и дальнейшей эксфильтрации информации, что обеспечивает повышенную эффективность и скрытность атак.
Определённые пакеты Android, связанные с кампанией, включают org.complexy.hard, , sa.aangal.lite и net.over.simple, что помогает специалистам идентифицировать заражённые приложения и принять меры по защите.
Эксперт из Sophos, Панкдж Кохли, отметил: «PJobRAT может похищать SMS-сообщения, контакты, информацию об устройстве и приложениях, документы и медиафайлы с заражённых устройств Android». Его комментарии подчёркивают, как злоумышленники совершенствуют тактику, адаптируя и улучшая методы кибератак.
Эта кампания демонстрирует целенаправленный характер атак, почти двухлетнюю активность и эволюцию возможностей вредоносного ПО. Адаптивная природа подобных угроз указывает на возможность повторения или появления новых, более совершенных вариантов в будущем.
Изображение носит иллюстративный характер
PJobRAT впервые был зафиксирован в 2021 году, однако существует с конца 2019 года. Ранние версии вируса использовались против военнослужащих Индии, а в ноябре 2021 М⃰ приписала атаки этому семейству вместе с вредоносом Mayhem угрожающему субъекту SideCopy, связанному с группировкой Transparent Tribe, действовавшей в Афганистане против сотрудников государственных и правоохранительных органов.
Вирус обладает широким спектром функций: он похищает SMS-сообщения, контакты, сведения об установленных приложениях, документы и мультимедийные файлы. Дополнительно, PJobRAT собирает данные о метаданных устройств, текстовых сообщениях, журналах звонков, информации о местоположении и даже может запускать shell-команды для доступа к чатам WhatsApp, обеспечивая тем самым расширенный контроль над заражёнными устройствами.
Новейшая кампания направлена на тайваньских пользователей благодаря приложениям SangaalLite и CChat, распространяемым через различные WordPress-сайты. Появление первого артефакта было зафиксировано в январе 2023 года, а по данным телеметрии кампания продлилась почти два года, завершившись или поставив на паузу около октября 2024 года.
Заражение происходит посредством методов социальной инженерии, которые заставляют пользователей перейти на заражённые сайты. После установки приложения запрашивают доступ к широкому спектру разрешений, что позволяет вирусу работать в фоновом режиме и собирать информацию, а также включать встроенную чат-функциональность, позволяющую пользователям регистрироваться и общаться, при этом осуществляя проверку серверов команд и контроля.
Новая версия PJobRAT использует две схемы командно-контрольных серверов: HTTP для выгрузки данных с устройств и Firebase Cloud Messaging для отправки shell-команд и дальнейшей эксфильтрации информации, что обеспечивает повышенную эффективность и скрытность атак.
Определённые пакеты Android, связанные с кампанией, включают org.complexy.hard, , sa.aangal.lite и net.over.simple, что помогает специалистам идентифицировать заражённые приложения и принять меры по защите.
Эксперт из Sophos, Панкдж Кохли, отметил: «PJobRAT может похищать SMS-сообщения, контакты, информацию об устройстве и приложениях, документы и медиафайлы с заражённых устройств Android». Его комментарии подчёркивают, как злоумышленники совершенствуют тактику, адаптируя и улучшая методы кибератак.
Эта кампания демонстрирует целенаправленный характер атак, почти двухлетнюю активность и эволюцию возможностей вредоносного ПО. Адаптивная природа подобных угроз указывает на возможность повторения или появления новых, более совершенных вариантов в будущем.
