Een Android -malwarefamilie die eerder werd waargenomen op het Indiase militaire personeel, is gekoppeld aan een nieuwe campagne die waarschijnlijk op gebruikers in Taiwan is gericht onder het mom van chat -apps.
“Pjobrat kan sms -berichten, telefooncontacten, apparaat- en app -informatie, documenten en mediabestanden van geïnfecteerde Android -apparaten stelen,” zei Sophos Security Researcher Pankaj Kohli in een donderdaganalyse.
Pjobrat, voor het eerst gedocumenteerd in 2021, heeft een track record van gebruikt tegen Indiase militaire doelen. Daaropvolgende iteraties van de malware zijn ontdekt als dating en instant messaging -apps om potentiële slachtoffers te misleiden. Het staat bekend als actief sinds ten minste eind 2019.
In november 2021 schreef Meta een door Pakistan uitgelijnde dreigingsacteur in Sidecopy toe-beschouwd als een subcluster binnen transparante stam-aan het gebruik van Pjobrat en Mayhem als onderdeel van zeer gerichte aanvallen gericht tegen mensen in Afghanistan, specifiek mensen met banden met de overheid, militairen en leger.
“Deze groep creëerde fictieve persona’s – meestal jonge vrouwen – als romantische kunstaas om vertrouwen op te bouwen met potentiële doelen en hen te misleiden om te klikken op phishing -links of het downloaden van kwaadaardige chat -applicaties,” zei Meta destijds.
Pjobrat is uitgerust om metagegevens van het apparaat te oogsten, contactlijsten, sms -berichten, oproeplogboeken, locatie -informatie en mediabestanden op het apparaat of verbonden externe opslag. Het is ook in staat om zijn toegankelijkheidsdienstenmachtigingen te misbruiken om inhoud op het scherm van het apparaat te schrapen.
Telemetriegegevens verzameld door Sophos laten zien dat de nieuwste campagne zijn bezienswaardigheden heeft getraind op Taiwanese Android -gebruikers, met behulp van kwaadaardige chat -apps met de naam Sangaalite en CCHAT om de infectiescène te activeren. Er wordt gezegd dat deze beschikbaar zijn om te downloaden van meerdere WordPress -sites, met de vroegste artefact die teruggaat tot januari 2023.
De campagne, volgens het Cybersecurity Company, eindigde, of op zijn minst gepauzeerd rond oktober 2024, wat betekent dat het bijna twee jaar operationeel was. Dat gezegd hebbende, het aantal infecties was relatief klein, suggererend voor de beoogde aard van de activiteit. De namen van de namen van het Android -pakket worden hieronder vermeld –
- org.complexy.hard
- com.happyho.app
- sa.aangal.lite
- net.over. simpel
Het is momenteel niet bekend hoe slachtoffers zijn misleid om deze sites te bezoeken, hoewel, als eerdere campagnes een indicatie zijn, het waarschijnlijk een element van sociale engineering heeft. Eenmaal geïnstalleerd, vragen de apps op indringende machtigingen waarmee ze gegevens kunnen verzamelen en op de achtergrond ononderbroken kunnen worden.
“De apps hebben een eenvoudige chatfunctionaliteit ingebouwd, waardoor gebruikers kunnen registreren, inloggen en chatten met andere gebruikers (dus theoretisch, geïnfecteerde gebruikers hadden elkaar kunnen sturen, als ze elkaars gebruikers-ID’s kenden),” zei Kohli. “Ze controleren ook de opdracht-en-control (C2) -servers op updates bij het opstarten, waardoor de dreigingsacteur malware-updates kan installeren.”
In tegenstelling tot eerdere versies van Pjobrat die de mogelijkheid koesterden om WhatsApp -berichten te stelen, heeft de nieuwste smaak een andere aanpak door een nieuwe functie op te nemen om shell -opdrachten uit te voeren. Dit stelt de aanvallers niet alleen in staat om waarschijnlijk WhatsApp -chats te overleven, maar ook meer controle uitoefenen over de geïnfecteerde telefoons.
Een andere update betreft het opdracht-en-controle (C2) -mechanisme, waarbij de malware nu twee verschillende benaderingen gebruikt, met behulp van HTTP om slachtoffergegevens en Firebase Cloud Messaging (FCM) te uploaden om shell-opdrachten te verzenden en informatie over exfiltraat.
“Hoewel deze specifieke campagne voorbij kan zijn, is het een goede illustratie van het feit dat dreigingsacteurs vaak zullen herstellen en zich retargeten na een eerste campagne – verbeteringen in hun malware en hun aanpak aanpassen – voordat ze opnieuw sloeg,” zei Kohli.
