СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.03.2025
#ИБ#Инфра#Облака

Эволюция PJobRAT: угрозы, тайваньские цели и новые функции

Эволюция PJobRAT: угрозы, тайваньские цели и новые функции

Источник: news.sophos.com

В свете последних исследований компании Sophos X-Ops, внимание к киберугрозам, связанным с троянцем PJobRAT, вновь возрастает. Этот троян для удаленного доступа к Android, впервые появившийся в 2019 году, в последние месяцы претерпел значительные изменения и начал нацеливаться на пользователей на Тайване.

Фон угрозы

PJobRAT изначально был нацелен на индийских военнослужащих, маскируясь под популярные приложения для знакомств и обмена мгновенными сообщениями. Сейчас, согласно новейшим данным, его версии продолжают эволюционировать и адаптироваться к текущей ситуации.

Пути распространения

Недавние варианты PJobRAT были замаскированы под следующие приложения:

  • SangaalLite
  • CChat

Эти приложения были доступны для загрузки с сайтов на платформе WordPress, которые впоследствии были закрыты.

Функции PJobRAT

Новая версия PJobRAT обладает расширенными возможностями по краже данных, включая:

  • Извлечение SMS-сообщений
  • Доступ к телефонным контактам
  • Получение спецификаций устройств
  • Кража документов и медиафайлов

Кроме того, новая версия теперь поддерживает выполнение команд оболочки, что значительно усиливает контроль злоумышленников над зараженными устройствами и открывает новые возможности для атак.

Методы взаимодействия с серверами

PJobRAT взаимодействует со своими серверами управления (C2) двумя основными способами:

  • Firebase Cloud Messaging (FCM): Позволяет смешивать C2-сообщения с обычным трафиком приложений Android, облегчая избегание обнаружения. Для FCM обычно используются порты 5228, 443, 5229 и 5230.
  • HTTP: Используется для передачи конфиденциальных данных обратно на сервер C2, ранее размещавшийся на динамическом DNS в Германии.

Текущая ситуация

Согласно данным, кампания PJobRAT, похоже, завершена или приостановлена, так как с октября 2024 года не было зафиксировано новых действий. Тем не менее, постоянная адаптация этого вредоносного ПО и его расширенные функциональные возможности указывают на то, что злоумышленники, вероятно, продолжат нацеливаться на уязвимых пользователей.

Рекомендации по защите

Для снижения риска заражения PJobRAT и других угроз, эксперты советуют следующие меры предосторожности:

  • Избегать установки приложений из непроверенных источников
  • Использовать мобильные антивирусные решения для обнаружения угроз

С состоянием киберугроз, подобных PJobRAT, необходимо быть особенно бдительными и следовать лучшим практикам безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: