Una comunidad de malware de Android observó previamente que el personal marcial indio se ha vinculado a una nueva campaña que probablemente dirige a los usuarios en Taiwán bajo la apariencia de aplicaciones de chat.
«Pjobrat puede robar mensajes SMS, contactos telefónicos, información de dispositivos y aplicaciones, documentos y archivos multimedia de dispositivos Android infectados», dijo el investigador de seguridad de Sophos, Pankaj Kohli, en un exploración del jueves.
Pjobrat, documentado por primera vez en 2021, tiene un historial de ser utilizado contra objetivos relacionados con el ejército indio. Se han descubierto iteraciones posteriores del malware disfrazada de aplicaciones de citas y mensajes instantáneos para engañar a las posibles víctimas. Se sabe que está activo desde al menos finales de 2019.
En noviembre de 2021, Meta atribuyó a un actor de amenaza en línea a Pakistán denominado Sidecopy, que se cree que es un subgrupo internamente de la tribu transparente, al uso de Pjobrat y Mayhem como parte de ataques enormemente dirigidos dirigidos contra las personas en Afganistán, específicamente aquellos con TIES para el gobierno, marcial y la vida en la ley.
«Este categoría creó personas ficticias, generalmente mujeres jóvenes, como señuelos románticos para originar confianza con posibles objetivos y engañarlos para que haga clic en enlaces de phishing o descargando aplicaciones de chat maliciosas», dijo Meta en ese momento.
PJobrat está equipado para cosechar metadatos del dispositivo, listas de contactos, mensajes de texto, registros de llamadas, información de ubicación y archivos multimedia en el dispositivo o almacenamiento foráneo conectado. Incluso es capaz de extralimitarse de sus permisos de servicios de accesibilidad para rasar contenido en la pantalla del dispositivo.
Los datos de telemetría recopilados por Sophos muestran que la última campaña capacitó a sus vistas a los usuarios taiwaneses de Android, utilizando aplicaciones de chat maliciosas llamadas Sangaallite y CCHAT para activar la secuencia de infección. Se dice que estos han estado disponibles para descargar desde múltiples sitios de WordPress, con el artefacto más temprano que se remonta a enero de 2023.
La campaña, según la compañía de seguridad cibernética, terminó, o al menos se detuvo, rodeando de octubre de 2024, lo que significa que había estado activo durante casi dos primaveras. Dicho esto, el número de infecciones fue relativamente pequeño, sugestivo de la naturaleza objetivo de la actividad. Los nombres de los nombres de los paquetes de Android se enumeran a continuación –
- org.complexy.hard
- com.happyho.app
- sa.aangal.lite
- net.over.simple
Actualmente no se sabe cómo las víctimas fueron engañadas para saludar estos sitios, aunque, si las campañas anteriores son una indicación, es probable que tenga un dato de ingeniería social. Una vez instalado, las aplicaciones solicitan permisos intrusivos que les permitan compilar datos y ejecutar ininterrumpidos en segundo plano.
«Las aplicaciones tienen una funcionalidad de chat básica incorporada, lo que permite a los usuarios registrarse, iniciar sesión y chatear con otros usuarios (por lo tanto, en teoría, los usuarios infectados podrían haberse enviado un mensaje, si conocían las ID de usufructuario de los demás)», dijo Kohli. «Incluso verifican los servidores de comando y control (C2) para obtener actualizaciones al inicio del inicio, lo que permite al actor de amenaza instalar actualizaciones de malware».
A diferencia de las versiones anteriores de Pjobrat que albergaban la capacidad de robar mensajes de WhatsApp, el extremo sabor adopta un enfoque diferente al incorporar una nueva característica para ejecutar comandos de shell. Esto no solo permite que los atacantes probablemente desvíen los chats de WhatsApp, sino que igualmente ejercen un anciano control sobre los teléfonos infectados.
Otra modernización se refiere al mecanismo de comando y control (C2), con el malware que ahora usa dos enfoques diferentes, utilizando HTTP para cargar datos de víctimas y transporte en la estrato de Firebase (FCM) para despachar comandos de shell y exfiltrate información.
«Si proporcionadamente esta campaña en particular puede acontecer terminado, es una buena ilustración del hecho de que los actores de amenaza a menudo se reorganizarán y reorganizarán posteriormente de una campaña original, haciendo mejoras en su malware y ajustar su enfoque, antiguamente de cascar nuevamente», dijo Kohli.
