(https://i.imgur.com/jaDaCWn.png)
Un sofisticado malware para Android, identificado previamente en ataques contra personal militar indio, ha resurgido en una nueva campaña que apunta a usuarios en Taiwán, ocultándose en aplicaciones de chat fraudulentas.
PJobRAT: Robo de Datos en Dispositivos Android"PJobRAT puede robar mensajes SMS, contactos telefónicos, información del dispositivo y aplicaciones, así como documentos y archivos multimedia de dispositivos Android infectados", señaló Pankaj Kohli, investigador de seguridad en Sophos.
Este malware, documentado por primera vez en 2021, ha sido utilizado para atacar objetivos militares en la India. Sus versiones más recientes han sido disfrazadas como aplicaciones de citas y mensajería instantánea, buscando engañar a sus víctimas. Se cree que su actividad maliciosa se remonta al menos a finales de 2019.
Conexiones con amenazas persistentes avanzadas (APT)En noviembre de 2021, Meta atribuyó el uso de PJobRAT y Mayhem a SideCopy, un actor de amenazas vinculado con Pakistán y posible subgrupo de Transparent Tribe. Este grupo realizó ataques dirigidos contra personas en Afganistán con vínculos gubernamentales, militares y de seguridad.
"Los atacantes crearon perfiles falsos de mujeres jóvenes para atraer a sus objetivos con engaños románticos, convenciéndolos de hacer clic en enlaces maliciosos o descargar aplicaciones de chat infectadas", indicó Meta.
Funcionalidades avanzadas de PJobRATPJobRAT cuenta con capacidades avanzadas para la recolección de datos:
- Acceso a contactos, registros de llamadas y mensajes SMS.
- Ubicación en tiempo real y acceso a archivos multimedia.
- Uso de permisos de accesibilidad para extraer contenido en pantalla.
Campaña reciente: ataques dirigidos a TaiwánDatos de telemetría de Sophos revelan que la más reciente campaña de PJobRAT se centró en usuarios taiwaneses de Android. Se disfrazó como aplicaciones de chat llamadas SangaalLite y CChat, disponibles para descarga desde sitios web de WordPress. La actividad maliciosa se registró desde enero de 2023 hasta octubre de 2024, con un número reducido de infecciones, lo que sugiere una estrategia de ataque altamente selectiva.
Algunas aplicaciones identificadas incluyen:- org.complexy.hard
- com.happyho.app
- sa.aangal.lite
- net.over.simple
Si bien se desconoce cómo los atacantes persuadieron a las víctimas para descargar estas aplicaciones, se sospecha el uso de técnicas de ingeniería social. Una vez instaladas, las apps solicitan permisos intrusivos para recopilar información y ejecutarse en segundo plano sin interrupción.
Nuevas capacidades del malware
A diferencia de versiones anteriores, PJobRAT ha evolucionado con funcionalidades adicionales:
- Ejecución de comandos de shell: Permite el robo de chats de WhatsApp y el control remoto del dispositivo.
- Doble mecanismo de C2: Utiliza HTTP para enviar datos robados y Firebase Cloud Messaging (FCM) para ejecutar comandos maliciosos.
En fin, a pesar de la aparente interrupción de esta campaña en octubre de 2024, la evolución de PJobRAT demuestra cómo los ciberdelincuentes reconfiguran sus ataques, refinando su malware y adaptando sus estrategias para futuros ataques dirigidos.
Recomendaciones:
- Evitar descargar aplicaciones fuera de Google Play Store.
- Revisar los permisos de las aplicaciones instaladas.
- Utilizar soluciones de seguridad móvil para detectar amenazas.
La ciberseguridad en dispositivos Android sigue siendo un desafío clave, y los usuarios deben estar alerta ante amenazas persistentes como PJobRAT.
Fuente: https://thehackernews.com/