İlk olarak 2019’da tanımlanan bir Android Uzaktan Access Trojan (RAT) olan Pjobrat, Tayvan’daki kullanıcıları hedefleyen yeni bir kampanyada yeniden ortaya çıktı.
Başlangıçta, PJOBRAT, kendisini tarihleme ve anlık mesajlaşma uygulamaları olarak gizleyerek Hint askeri personelini hedeflediği biliniyordu.
Bu kötü amaçlı yazılımın en son yinelemesi, artık WordPress siteleri aracılığıyla dağıtılan ‘Sangaallite’ ve ‘CCHAT’ gibi uygulamalar olarak görünen gelişti.
Bu siteler en az Ocak 2023’ten Ekim 2024’e kadar aktifti, ancak alanlar Nisan 2022’nin başlarında kaydedildi.
Dağıtım ve enfeksiyon taktikleri
Kötü amaçlı yazılım, meşru mesajlaşma hizmetlerini taklit eden sahte uygulamalar aracılığıyla yayıldı.
Kurulduktan sonra, bu uygulamalar, pil optimizasyonunu atlama ve arka planda sürekli çalışmalarını sağlayan kapsamlı izinler ister.
Bu kampanyada kullanılan tam yöntemler doğrulanmamış olsa da, kullanıcılar bu kötü niyetli sitelere SEO zehirlenmesi, kötü niyetli veya kimlik avı gibi çeşitli taktiklerle yönlendirildi.
Pjobrat’ın arkasındaki tehdit aktörleri, üçüncü taraf uygulama mağazaları ve tehlikeye atılmış meşru siteler de dahil olmak üzere tarihsel olarak çeşitli dağıtım yöntemlerini kullandılar.
Gelişmiş yetenekler
PJOBRAT’ın en son sürümleri, özellikle kabuk komutlarını yürütme yeteneklerinde önemli güncellemeler gördü.
Rapora göre, bu geliştirme, kötü amaçlı yazılımın cihazdaki herhangi bir uygulamadan potansiyel olarak veri çalmasına, cihazı köklendirmesine ve hatta hedeflerini tamamladıktan sonra sessizce kaldırmasına olanak tanır.
Önceki sürümlerden farklı olarak, yeni PJOBRAT özellikle WhatsApp mesajlarını hedeflemez, ancak herhangi bir uygulamadan verilere erişebilir.
Firebase Bulut Mesajlaşma (FCM) ve HTTP kullanarak komut ve kontrol (C2) sunucuları ile iletişim kurar ve SMS mesajları, kişiler ve dosyalar gibi çalınan verileri yüklemesini sağlar.
Kampanya, son zamanlarda herhangi bir faaliyet gözlemlenmeden sonuçlanmış gibi görünüyor. Bununla birlikte, bu yeniden diriliş, taktiklerini ve kötü amaçlı yazılımlarını tespit etmek için sürekli olarak geliştiren tehdit aktörlerinin uyarlanabilirliğini vurgulamaktadır.
Android kullanıcılarına güvenilmeyen kaynaklardan uygulamalar yüklemekten kaçınmaları ve bu tür tehditlere karşı korumak için mobil tehdit algılama yazılımı kullanmaları tavsiye edilir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.