RAT-троян PJobRAT, предназначенный для андроид-устройств, был впервые обнаружен в 2019 году и нацелен на индийских военнослужащих. Недавно исследователи Sophos X-Ops обнаружили новую кампанию, нацеленную на пользователей из Тайваня.
Описание
PJobRAT способен краденовать SMS-сообщения, контакты, информацию об устройствах и приложениях, документы и медиафайлы. Во время последней кампании троян маскировался под приложения для обмена мгновенными сообщениями. Приложения распространялись через сайты WordPress.
Злоумышленники использовали различные методы распространения, включая сторонние магазины приложений, компрометацию легитимных сайтов и фишинг. Целью данной кампании были пользователи из Тайваня. Приложения запрашивали множество разрешений, включая отключение оптимизации заряда батареи, чтобы работать в фоновом режиме. Они также содержали функцию чата и проверяли командно-контрольные серверы для обновлений.
Последние версии PJobRAT не имеют функционала для кражи сообщений WhatsApp, но вместо этого добавили функцию выполнения команд оболочки, что позволяет злоумышленникам получить больший контроль над устройством жертвы. PJobRAT использует Firebase Cloud Messaging (FCM) для связи с C2-серверами, что позволяет скрывать свою активность в обычном трафике Android и использовать репутацию облачных сервисов.
Неизвестно, как пользователи попадали на сайты распространения WordPress, но известно, что злоумышленники использовали разные методы распространения в предыдущих кампаниях. Несмотря на то, что количество заражений было небольшим, кампания продолжалась около 22 месяцев и, возможно, более двух с половиной лет. Исследователи считают, что кампания уже завершена или приостановлена, так как активность не наблюдается. Злоумышленники продолжают совершенствовать PJobRAT, добавляя новые функции, чтобы усилить контроль над зараженными устройствами.
Indicators of Compromise
Domains
- dependablework.wordpress.com
- itechcube.xyz
- lifestylespractice.wordpress.com
- toolkitapi.xyz
- westvist.myftp.org
Domain Port Combinations
- westvist.myftp.org:3574
- westvist.myftp.org:8181
URL
- http://westvist.myftp.org:3574/m_chowa_srv/main.php
- http://westvist.myftp.org:3574/notification/chat_notification_v2.php
- http://westvist.myftp.org:8181/socket.io/?EIO=4&transport=websocket
SHA256
- 0ad9cd56764ef70bdfbd3b2d269020557135f075d63327dbaab1bf0e9d816fb5
- 0ebcfbcda27b84b8f0db6d50abb1b0ff7831938913912156d27880704e69f1f2
- 37c390ff137ac71004223c73b99a9d8eec8ae2e879dee679bda29c09e1b11a37
- 44a05d1e36938c0d6039e0986de91744482d86d641d1d981f3e8a61385fb33a3
