Двойное шифрование: ваша приватность и правда о ней — история о том, как мессенджеры стали цифровыми шпионами

Вредоносное ПО PJobRAT, ранее нацеленное на военных в Индии, вновь активизировалось — на этот раз целью стали пользователи Android на Тайване. Специалисты Sophos зафиксировали новую кампанию, в рамках которой злоумышленники распространяли вредонос через поддельные чат-приложения, маскируя его под обычное средство общения.

PJobRAT способен похищать сообщения, контакты, данные об устройствах, документах, медиафайлах, а также получать доступ к метаданным, журналам звонков и геолокации. Используя разрешения на доступ к службам специальных возможностей, он также может считывать содержимое с экрана. Новая версия дополнительно получила возможность выполнять shell-команды, что расширяет контроль над заражённым устройством.

PJobRAT был впервые задокументирован ещё в 2021 году, однако его активность отслеживается как минимум с конца 2019 года. Ранее вредонос маскировался под приложения для знакомств и мессенджеры, чтобы привлечь внимание жертв.

В одной из прошлых кампаний, как сообщали исследователи из Meta*, за распространением PJobRAT стояла пакистанская группировка SideCopy, связанная с Transparent Tribe. Тогда в качестве приманки использовались фейковые профили девушек, с помощью которых жертв убеждали перейти по фишинговым ссылкам или загрузить заражённые приложения.

Согласно отчёту Sophos, вредонос распространялся через приложения под названиями SangaalLite и CChat, размещённые на ряде WordPress-сайтов. Первый выявленный экземпляр PJobRAT, связанный с этой кампанией, датируется январём 2023 года. Активная фаза, по всей видимости, завершилась в октябре 2024 года, то есть продолжалась почти два года. Несмотря на малое число заражений, речь идёт о целенаправленных атаках, поэтому цифры находятся в рамках нормы.

Установленные вредоносные приложения имели базовую функциональность мессенджера, позволяли зарегистрироваться, авторизоваться и обмениваться сообщениями. Учитывая это, заражённые пользователи могли теоретически вступать в контакт друг с другом, если знали ID собеседника. При запуске приложения связывались с управляющими серверами (C2), проверяли наличие обновлений и могли загружать новые модули, что обеспечивало длительное присутствие на устройствах.

Разработчики обновлённой версии PJobRAT изменили и инфраструктуру управления. Вредонос теперь использует два метода для взаимодействия с C2 — HTTP-запросы для загрузки данных и Firebase Cloud Messaging (FCM) для получения команд и передачи информации. Такое сочетание позволяет повысить надёжность доставки команд и затрудняет обнаружение.

Названия Android-пакетов, использовавшихся в кампании, включают: «org.complexy.hard», «com.happyho.app», «sa.aangal.lite» и «net.over.simple». Каким именно образом злоумышленники перенаправляли пользователей на сайты с заражёнными APK-файлами, пока неизвестно. Однако, учитывая предыдущие случаи, вполне вероятно, что применялись методы социальной инженерии.

Эксперты подчёркивают, что несмотря на завершение данной волны атак, подобные кампании часто повторяются в изменённом виде. Угрозы развиваются, вредонос модернизируется, а цели смещаются в зависимости от интересов группировки. Именно поэтому важно своевременно обновлять средства защиты и проявлять осторожность при установке незнакомых приложений, особенно за пределами официальных магазинов.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.