Sophos X-Ops descubrió una campaña reciente de un RAT para el sistema operativo de celulares, visto por primera vez en 2019.
Una nueva amenaza se cierne sobre Android. Se trata de “PJobRAT”, un RAT para Android observado por primera vez en 2019, tenía como objetivo al personal militar indio imitando varias aplicaciones de citas y mensajería instantánea. Desde entonces, ha habido pocas noticias sobre esta amenaza, hasta que, durante una reciente búsqueda, los investigadores de Sophos X-Ops descubrieron una nueva campaña.
PJobRAT puede robar mensajes SMS, contactos, información de equipos y aplicaciones, documentos y archivos multimedia de dispositivos Android infectados. En la última campaña, los investigadores encontraron que la amenaza se disfrazaba de aplicaciones de mensajería instantánea, como por ejemplo «SangaalLite» (posiblemente un juego de palabras con «SignalLite», una App utilizada en campañas de 2021) y CChat (que imitaba una legítima del mismo nombre que existía en Google Play).
Si bien el equipo investigativo de Sophos X-Ops optó por revelar el hallazgo, precisa que la muestra más reciente fue en octubre de 2024 y no ha habido nueva actividad desde entonces -haciendo creer que la campaña ya terminó-. Por otra parte, el número de infecciones fue relativamente pequeño y, según la evaluación, los actores de la amenaza no estaban dirigidos al público en general.
Las Apps estaban disponibles para su descarga en varios sitios de WordPress (ahora desaparecidos). Los investigadores aseguran no tener suficiente información para confirmar cómo se dirigía a los usuarios a los sitios de distribución de esa plataforma, pero sí lograron determinar que los actores de amenazas utilizaron una variedad de trucos para la distribución. Entre ellos se incluyen tiendas de aplicaciones de terceros, sitios legítimos comprometidos para alojar páginas de phishing, enlaces acortados para enmascarar las URL finales y personajes ficticios para engañar a los usuarios y que hagan clic en los enlaces o descarguen las Apps camufladas.
Además, es posible que los ciberatacantes también distribuyeran enlaces a las aplicaciones maliciosas en foros. Una vez en el dispositivo de un usuario e iniciadas, las aplicaciones solicitan una gran cantidad de permisos, incluida una solicitud para dejar de optimizar el uso de la batería, con el fin de ejecutarse continuamente en segundo plano.
Las nuevas funcionalidades de PJobRAT incluyen la ejecución de comandos de Shell, aumentando enormemente las capacidades del malware, lo que permite al actor de la amenaza un control mucho mayor sobre los dispositivos móviles de las víctimas. Puede permitirles robar datos, incluidos los de WhatsApp, de cualquier aplicación del dispositivo, rootearlo, utilizarlo para atacar y penetrar en otros sistemas de la red, e incluso eliminar silenciosamente el malware una vez que se han completado sus objetivos.
Aunque esta campaña en particular puede haber terminado, es un buen ejemplo del hecho de que los actores de amenazas a menudo se reestructuran y reorientan después de una campaña inicial, mejorando su malware y ajustando su enfoque, antes de atacar de nuevo.
Mientras tanto, los usuarios de Android deben evitar instalar aplicaciones desde enlaces que se encuentren en correos electrónicos, mensajes de texto o cualquier comunicación recibida de fuentes no confiables, y usar una aplicación de detección de amenazas móviles como Sophos Intercept X for Mobile para defenderse de tales amenazas.
Equipo Prensa
Portal Prensa Eventos
