PJobRAT Malware: Заплахата за Android се завръща

  • PJobRAT е злонамерен софтуер от типа RAT, насочен към Android, активен от 2019 г. и открит в последните кампании за атака.
  • Техният начин на действие включва маскиране като легитимни приложения в неофициални магазини, WordPress сайтове и сложен фишинг.
  • Позволява кражба на поверителни данни, достъп до WhatsApp, руутване на устройството и дистанционно изпълнение на команди.
  • Става все по-трудно за откриване и експертите препоръчват да се вземат изключителни предпазни мерки и да се използват защитни приложения.
Lorena Figueredo

6 Minutos

Плъх на мобилен телефон

През последните месеци, Потребители на Android са били изправени пред нарастваща заплаха, свързана с PJobRAT зловреден софтуер. Този зловреден софтуер от троянски кон за отдалечен достъп има привлече вниманието на изследователите по киберсигурност поради сложността на методите си и сериозността на последствията за засегнатите. Въпреки че дейността им е разкрита своевременно и броят на жертвите е малък, случаят подчертава необходимостта от вземете изключителни предпазни мерки и бъдете наясно с новите пътища на инфекция във вселената на Android.

PJobRAT Това не е напълно нова заплаха. Всъщност за първи път е открит в 2019 и първоначално се фокусира върху насочване към индийски военен персонал чрез фалшиви приложения за запознанства и съобщения. Наскоро екипите на Sophos X-Ops и други експерти по цифрова сигурност потвърдиха a нова кампания, в който зловреден софтуер се появи отново, демонстрирайки способността си да се развива и адаптира, за да остане ефективен.

Какво всъщност е PJobRAT и как работи на Android?

PJobRAT е a троянски кон за отдалечен достъп (RAT) специално проектирани да атакуват устройства с Android. Основната му функция е дайте на нападателя дистанционно управление от заразения телефон или таблет и в същото време, получават поверителна информация съхранявани на устройството.

Сред данните, които може да извлече са:

  • SMS съобщения и разговори на приложения за съобщения
  • Контакти съхранява
  • Мултимедийни файлове (снимки, видео, аудио)
  • Документи и системни файлове
  • Информация за инсталирани приложения
  • Конфигурационни данни и данни от самата операционна система

Зловреден софтуер се разпространява чрез използване на имена на домейни. на пръв поглед безобидни приложения. По-конкретно, той е използвал варианти като SangaalLite (напомнящ на SignalLite, използван в предишни кампании), и CChat, клонирайки имената на легитимни приложения в Google Play, което улеснява потребителите да изтеглят заплахата, без да подозират.

Методи за разпространение и измама на PJobRAT

PJobRAT Android-0 Зловреден софтуер

Нападателите използват разнообразни и усъвършенствани методи за разпространение за нови жертви. Те са идентифицирани като използващи, наред с други тактики:

  • WordPress сайтове манипулиран и модифициран, за да хоства злонамерени файлове
  • Използване на магазини за приложения на трети страни извън Google Play
  • Фишинг страници маскирани като вече компрометирани законни уебсайтове
  • Звена съкратен които скриват истинската дестинация и затрудняват откриването
  • Измислени профили във форуми и социални мрежи за споделяне на злонамерени връзки

Използват се някои варианти директни съобщения в социалните мрежи и форуми за разпространение на връзките, като се възползват от доверието на потребителите, за да ги накарат да изтеглят и инсталират фалшиви приложения. След инсталирането зловредният софтуер иска обширни разрешения, включително деактивиране на оптимизирането на батерията, което позволява на заплахата да работи постоянно на заден план и да останат незабелязани.

Еволюция и разширени функции в най-новото поколение на PJobRAT

Най-новата версия е включена опасни способности които ви дават почти пълен контрол над заразените устройства. Сред тях са:

  • Изпълнение на команди на Shell, позволявайки отдалечени команди в системата
  • Достъп до чувствителни данни на трети страни, включително разговори в WhatsApp
  • Капацитет на коренно устройство, предоставяйки пълен достъп на нападателя
  • Използване на терминала като шлюз към други мрежи
  • възможност за да бъдат автоматично изтрити за да е трудно да ги откриете по-късно

Тези функции позволяват на нападателите да краде информация и използвайте телефона, за да стартирате допълнителни атаки или да проникнете в корпоративни среди, свързани към същата мрежа.

Броят на откритите инфекции е бил доста ограничено. Освен това експертите смятат, че най-активната кампания е приключила до края на 2024 г. Въпреки това, естеството на PJobRAT и способността му да се развива показват, че могат да се появят нови варианти с по-сложни и трудни за откриване методи на атака.

Препоръки и насоки за профилактика срещу PJobRAT

Въпреки че масовото разпространение на тази заплаха не изглежда неизбежно, опита с PJobRAT предлага важни уроци за всеки потребител на Android. Някои най-добри практики са:

  • Инсталирайте приложения само от официални и проверени източници, избягване на магазини на трети страни
  • Не отваряйте и не изтегляйте файлове от имейли или съобщения от неизвестни податели
  • Избягвайте да кликвате върху връзки съкратен или подозрителен, особено в необичайни канали
  • Употреба инструменти за защита надеждни приложения като Sophos Intercept X for Mobile или други признати приложения за сигурност
  • Обърнете внимание на поискани разрешения от приложения и внимавайте, ако изглеждат прекомерни или необичайни

Ако се подозира, че дадено устройство е компрометирано, препоръчително е да извършите a изчерпателен анализ със софтуер за сигурност и, ако е необходимо, нулирайте фабричните настройки, за да премахнете възможни следи от зловреден софтуер.

Нови системи за откриване и реагиране на зловреден софтуер

Близък план на плъх

Компании за киберсигурност, като разработчици на Sophos Intercept X за мобилни устройства или проекти като Triage, са разработили специфични функции за откриване и премахване на PJobRAT. Тези решения улесняват ранното идентифициране на подобни заплахи и предлагат опции за смекчаване на щетите или премахване на зловреден софтуер на засегнатите устройства.

Този напредък в защитата е придружен от по-голяма работа от осъзнаване от специализираната общност, която настоява за важността на обучението за разпознаване на модели на атака и избягване на изпадане във все по-сложни измами.

Както и в други случаи, ранното откриване и предпазливостта са от ключово значение за избягването да станете жертва на злонамерени кампании.

La мобилна сигурност непрекъснато се развива. Случаят PJobRAT илюстрира как кибер заплахите напредват и методите за измама стават все по-сложни. Въпреки че най-скорошната кампания вероятно е приключила и броят на смъртните случаи е намалял, рискът остава, ако потребителите не вземат предпазни мерки. Да бъдете информирани, редовно да актуализирате устройствата и да използвате системи за активна защита са най-добрите стратегии за справяне с днешните рискове.