Una familia de malware de Android observó previamente que el personal militar indio se ha vinculado a una nueva campaña que probablemente dirige a los usuarios en Taiwán bajo la apariencia de aplicaciones de chat.
“Pjobrat puede robar mensajes SMS, contactos telefónicos, información de dispositivos y aplicaciones, documentos y archivos multimedia de dispositivos Android infectados”, el investigador de seguridad de Sophos Pankaj Kohli dicho en un análisis del jueves.
Pjobrat, Primero documentado En 2021, tiene un historial de ser utilizado contra objetivos relacionados con el ejército indio. Se han descubierto iteraciones posteriores del malware disfrazada de aplicaciones de citas y mensajes instantáneos para engañar a las posibles víctimas. Se sabe que está activo desde al menos finales de 2019.
En noviembre de 2021, Meta atribuyó a un actor de amenaza alineado a Pakistán denominado Sidecopy, que se cree que es un subgrupo dentro de la tribu transparente, al uso de Pjobrat y Mayhem como parte de ataques altamente dirigidos dirigidos contra las personas en Afganistán, específicamente aquellos con TIES para el gobierno, militar y la vida en la ley.
“Este grupo creó personas ficticias, generalmente mujeres jóvenes, como señuelos románticos para generar confianza con posibles objetivos y engañarlos para que haga clic en enlaces de phishing o descargando aplicaciones de chat maliciosas”, dijo Meta en ese momento.
PJobrat está equipado para cosechar metadatos del dispositivo, listas de contactos, mensajes de texto, registros de llamadas, información de ubicación y archivos multimedia en el dispositivo o almacenamiento externo conectado. También es capaz de abusar de sus permisos de servicios de accesibilidad para raspar contenido en la pantalla del dispositivo.
Los datos de telemetría recopilados por Sophos muestran que la última campaña capacitó a sus vistas a los usuarios taiwaneses de Android, utilizando aplicaciones de chat maliciosas llamadas Sangaallite y CCHAT para activar la secuencia de infección. Se dice que estos han estado disponibles para descargar desde múltiples sitios de WordPress, con el artefacto más temprano que se remonta a enero de 2023.
La campaña, según la compañía de seguridad cibernética, terminó, o al menos se detuvo, alrededor de octubre de 2024, lo que significa que había estado operativo durante casi dos años. Dicho esto, el número de infecciones fue relativamente pequeño, sugestivo de la naturaleza objetivo de la actividad. Los nombres de los nombres de los paquetes de Android se enumeran a continuación –
- org.complexy.hard
- com.happyho.app
- sa.aangal.lite
- net.over.simple
Actualmente no se sabe cómo las víctimas fueron engañadas para visitar estos sitios, aunque, si las campañas anteriores son una indicación, es probable que tenga un elemento de ingeniería social. Una vez instalado, las aplicaciones solicitan permisos intrusivos que les permitan recopilar datos y ejecutar ininterrumpidos en segundo plano.
“Las aplicaciones tienen una funcionalidad de chat básica incorporada, lo que permite a los usuarios registrarse, iniciar sesión y chatear con otros usuarios (por lo tanto, en teoría, los usuarios infectados podrían haberse enviado un mensaje, si conocían las ID de usuario de los demás)”, dijo Kohli. “También verifican los servidores de comando y control (C2) para obtener actualizaciones al inicio del inicio, lo que permite al actor de amenaza instalar actualizaciones de malware”.
A diferencia de las versiones anteriores de Pjobrat que albergaban la capacidad de robar mensajes de WhatsApp, el último sabor adopta un enfoque diferente al incorporar una nueva característica para ejecutar comandos de shell. Esto no solo permite que los atacantes probablemente desvíen los chats de WhatsApp, sino que también ejercen un mayor control sobre los teléfonos infectados.
Otra actualización se refiere al mecanismo de comando y control (C2), con el malware que ahora usa dos enfoques diferentes, utilizando HTTP para cargar datos de víctimas y mensajería en la nube de Firebase (FCM) para enviar comandos de shell y exfiltrate información.
“Si bien esta campaña en particular puede haber terminado, es una buena ilustración del hecho de que los actores de amenaza a menudo se reorganizarán y reorganizarán después de una campaña inicial, haciendo mejoras en su malware y ajustar su enfoque, antes de golpear nuevamente”, dijo Kohli.
About the Author
