Una grupo de malware de Android observó previamente que el personal marcial indio se ha vinculado a una nueva campaña que probablemente dirige a los usuarios en Taiwán bajo la apariencia de aplicaciones de chat.
“Pjobrat puede robar mensajes SMS, contactos telefónicos, información de dispositivos y aplicaciones, documentos y archivos multimedia de dispositivos Android infectados”, dijo el investigador de seguridad de Sophos, Pankaj Kohli, en un examen del jueves.
Pjobrat, documentado por primera vez en 2021, tiene un historial de ser utilizado contra objetivos relacionados con el ejército indio. Se han descubierto iteraciones posteriores del malware disfrazada de aplicaciones de citas y mensajes instantáneos para engañar a las posibles víctimas. Se sabe que está activo desde al menos finales de 2019.
En noviembre de 2021, Meta atribuyó a un actor de amenaza en línea a Pakistán denominado Sidecopy, que se cree que es un subgrupo adentro de la tribu transparente, al uso de Pjobrat y Mayhem como parte de ataques enormemente dirigidos dirigidos contra las personas en Afganistán, específicamente aquellos con TIES para el gobierno, marcial y la vida en la ley.
“Este camarilla creó personas ficticias, generalmente mujeres jóvenes, como señuelos románticos para producir confianza con posibles objetivos y engañarlos para que haga clic en enlaces de phishing o descargando aplicaciones de chat maliciosas”, dijo Meta en ese momento.
PJobrat está equipado para cosechar metadatos del dispositivo, listas de contactos, mensajes de texto, registros de llamadas, información de ubicación y archivos multimedia en el dispositivo o almacenamiento extranjero conectado. Además es capaz de excederse de sus permisos de servicios de accesibilidad para rozar contenido en la pantalla del dispositivo.
Los datos de telemetría recopilados por Sophos muestran que la última campaña capacitó a sus vistas a los usuarios taiwaneses de Android, utilizando aplicaciones de chat maliciosas llamadas Sangaallite y CCHAT para activar la secuencia de infección. Se dice que estos han estado disponibles para descargar desde múltiples sitios de WordPress, con el artefacto más temprano que se remonta a enero de 2023.
La campaña, según la compañía de seguridad cibernética, terminó, o al menos se detuvo, rodeando de octubre de 2024, lo que significa que había estado activo durante casi dos primaveras. Dicho esto, el número de infecciones fue relativamente pequeño, sugestivo de la naturaleza objetivo de la actividad. Los nombres de los nombres de los paquetes de Android se enumeran a continuación –
- org.complexy.hard
- com.happyho.app
- sa.aangal.lite
- net.over.simple
Actualmente no se sabe cómo las víctimas fueron engañadas para examinar estos sitios, aunque, si las campañas anteriores son una indicación, es probable que tenga un hábitat de ingeniería social. Una vez instalado, las aplicaciones solicitan permisos intrusivos que les permitan compendiar datos y ejecutar ininterrumpidos en segundo plano.
“Las aplicaciones tienen una funcionalidad de chat básica incorporada, lo que permite a los usuarios registrarse, iniciar sesión y chatear con otros usuarios (por lo tanto, en teoría, los usuarios infectados podrían haberse enviado un mensaje, si conocían las ID de favorecido de los demás)”, dijo Kohli. “Además verifican los servidores de comando y control (C2) para obtener actualizaciones al inicio del inicio, lo que permite al actor de amenaza instalar actualizaciones de malware”.
A diferencia de las versiones anteriores de Pjobrat que albergaban la capacidad de robar mensajes de WhatsApp, el postrer sabor adopta un enfoque diferente al incorporar una nueva característica para ejecutar comandos de shell. Esto no solo permite que los atacantes probablemente desvíen los chats de WhatsApp, sino que incluso ejercen un longevo control sobre los teléfonos infectados.
Otra puesta al día se refiere al mecanismo de comando y control (C2), con el malware que ahora usa dos enfoques diferentes, utilizando HTTP para cargar datos de víctimas y correo en la montón de Firebase (FCM) para dirigir comandos de shell y exfiltrate información.
“Si aceptablemente esta campaña en particular puede acaecer terminado, es una buena ilustración del hecho de que los actores de amenaza a menudo se reorganizarán y reorganizarán a posteriori de una campaña auténtico, haciendo mejoras en su malware y ajustar su enfoque, antaño de tropezar nuevamente”, dijo Kohli.
