Tổng quan về phần mềm độc hại PJobRAT
Phần mềm độc hại PJobRAT, một Trojan Truy cập từ xa cho Android (RAT), đã được xác định trong nhiều chiến dịch nhắm mục tiêu đến người dùng ở nhiều khu vực khác nhau, bao gồm một chiến dịch gần đây nhắm đến người dùng Đài Loan.
Phân phối và Tác động của phần mềm độc hại
- Chiến dịch nhắm mục tiêu: PJobRAT đã được sử dụng trong các chiến dịch nhắm mục tiêu, bao gồm một chiến dịch nhằm vào nhân viên quân đội Ấn Độ và một chiến dịch khác nhắm vào người dùng Đài Loan.
- Ngụy trang: Phần mềm độc hại thường được ngụy trang dưới dạng các ứng dụng hẹn hò và nhắn tin tức thời để lừa dối các nạn nhân tiềm năng. Trong chiến dịch gần đây, nó đã được ngụy trang thành các ứng dụng trò chuyện có tên SangaalLite và CChat.
- Phân phối: Các ứng dụng này đã được phân phối qua các trang WordPress bị xâm nhập thay vì các cửa hàng ứng dụng chính thức, làm cho chúng khó phát hiện hơn.
Các khả năng
- Đánh cắp dữ liệu: PJobRAT có khả năng đánh cắp thông tin nhạy cảm như tin nhắn SMS, danh bạ điện thoại, thông tin thiết bị và ứng dụng, tài liệu, và tệp truyền thông từ các thiết bị Android bị nhiễm.
- Lệnh Shell: Phiên bản mới nhất của PJobRAT bao gồm khả năng thực hiện lệnh shell, cho phép các tác nhân đe dọa kiểm soát tốt hơn các thiết bị của nạn nhân.
- Kết nối Command-and-Control (C2): Phần mềm độc hại này giao tiếp với các máy chủ C2 của nó thông qua Firebase Cloud Messaging (FCM) và HTTP, giúp làm cho việc phát hiện trở nên khó khăn hơn.
Các cơ chế duy trì
- Kết nối tự động: Phần mềm độc hại có tính năng kết nối tự động giúp giữ cho bot hoạt động trừ khi được kết thúc thủ công.
- Nhập vào registry: Nó thêm các mục vào registry để khởi động cùng hệ thống, đảm bảo có quyền truy cập và kiểm soát liên tục đối với các thiết bị bị xâm nhập.
Phòng ngừa và Giảm thiểu
- Tránh các nguồn không đáng tin cậy: Người dùng nên tránh cài đặt các ứng dụng từ những nguồn không đáng tin cậy và sử dụng các giải pháp bảo mật di động để phát hiện các mối đe dọa độc hại trên thiết bị.
- Bảo mật đầu cuối mạnh mẽ: Việc triển khai các biện pháp bảo mật đầu cuối mạnh mẽ như các giải pháp antivirus và hệ thống phát hiện mối đe dọa là rất quan trọng để chống lại các mối đe dọa như vậy.
Chiến dịch mới gần đây
- Nhắm vào Đài Loan: Chiến dịch gần đây đã nhắm mục tiêu người dùng Đài Loan bằng cách sử dụng các ứng dụng trò chuyện giả mạo, kéo dài từ tháng 1 năm 2023 đến tháng 10 năm 2024.
- Nhiễm trùng quy mô nhỏ: Số lượng nhiễm trùng tương đối nhỏ, cho thấy một cách tiếp cận nhắm mục tiêu hơn là một cuộc tấn công quy mô lớn.
Tóm lại, PJobRAT là một RAT Android tinh vi đã được sử dụng trong nhiều chiến dịch nhắm mục tiêu, bao gồm một chiến dịch gần đây nhắm mục tiêu người dùng Đài Loan. Năng lực thực hiện lệnh shell và sử dụng nhiều phương thức C2 của nó khiến nó trở thành một mối đe dọa nghiêm trọng, nhấn mạnh sự cần thiết phải có các biện pháp bảo mật mạnh mẽ để ngăn chặn các cuộc tấn công như vậy.
