X-twitter Linkedin Whatsapp Facebook Instagram Youtube

El malware PJobRAT ataca a usuarios en Taiwán, mediante aplicaciones falsas

Investigadores de ciberseguridad han descubierto una nueva campaña de ciberespionaje que utiliza PJobRAT, un troyano de acceso remoto (RAT) para Android.

El malware, que anteriormente se dirigía a personal militar indio, se encontró recientemente en una campaña dirigida a usuarios en Taiwán.

Camuflado como una aplicación de mensajería instantánea, PJobRAT fue diseñado para robar información confidencial de los dispositivos infectados.

Investigadores de Sophos X-Ops identificaron el malware en aplicaciones falsas llamadas «SangaalLite» y «CChat», que imitaban plataformas de chat legítimas. Estas aplicaciones se distribuyeron a través de sitios web de WordPress comprometidos, en lugar de las tiendas de aplicaciones oficiales.

La primera muestra vinculada a esta campaña data de enero de 2023, aunque los dominios de alojamiento se registraron en abril de 2022. La actividad más reciente se observó en octubre de 2024. Si bien la campaña parece haber finalizado, estuvo activa durante al menos 22 meses.

A diferencia de las versiones anteriores de PJobRAT, que incluían la función de robo de mensajes de WhatsApp, la última versión ha cambiado de táctica. Ahora incluye la capacidad de ejecutar comandos de shell, lo que otorga a los actores de amenazas un mayor control sobre los dispositivos de las víctimas.

Esta mejora permite a los atacantes robar datos de cualquier aplicación, rootear el dispositivo, lanzar ataques a otros sistemas e incluso desinstalar el malware de forma remota una vez alcanzados los objetivos.

El malware se comunica con sus servidores de comando y control (C2) mediante dos métodos principales: Firebase Cloud Messaging (FCM) y HTTP.

Al usar FCM, un servicio basado en la nube de Google, el malware puede combinar su tráfico de red con comunicaciones legítimas de Android, lo que dificulta su detección.

El segundo método, HTTP, se utiliza para exfiltrar datos robados, incluyendo mensajes SMS, contactos y archivos multimedia.

Los investigadores rastrearon el servidor C2, ahora inactivo, hasta una dirección IP en Alemania. El malware acepta varios comandos del servidor C2, lo que permite a los actores de amenazas:

  • Subir mensajes SMS, información del dispositivo y archivos
  • Recuperar listas de archivos multimedia y documentos
  • Ejecutar comandos de shell
  • Grabar y subir audio
  • Prevención y mitigación

Para mitigar estas amenazas, los usuarios de Android deben evitar instalar aplicaciones de fuentes no confiables y utilizar soluciones de seguridad móvil para identificar amenazas maliciosas en sus dispositivos.

ARTÍCULOS RELACIONADOS

Zi zoomBig Head

OPINIÓN

La plataforma de seguridad en la nube de Kaspersky, es ahora más inteligente, escalable y segura

Doubleclickjacking: ¿Cómo funciona este nuevo ataque y de qué manera protegerse?

Alemania sospecha de un ciberataque ruso contra un grupo de investigación

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.

SABER MÁS
Logo Ciber Seguridad Latam Blanco
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

© 2022 Ciberseguridad LATAM. All rights reserved.

Diseño y Programación Estudio UMO