En 2021, los investigadores informaron de que PJobRAT, un RAT para Android observado por primera vez en 2019, tenía como objetivo al personal militar indio imitando varias aplicaciones de citas y mensajería instantánea. Desde entonces, ha habido pocas noticias sobre PJobRAT, hasta que, durante una reciente búsqueda de amenazas, los investigadores de Sophos X-Ops descubrieron una nueva campaña, ahora aparentemente terminada, que parecía tener como objetivo a usuarios de Taiwán.
PJobRAT puede robar mensajes SMS, contactos, información de dispositivos y aplicaciones, documentos y archivos multimedia de dispositivos Android infectados.
Distribución e infección
En la última campaña, los investigadores de X-Ops encontraron muestras de PJobRAT que se disfrazaban de aplicaciones de mensajería instantánea. En nuestra telemetría, todas las víctimas parecían estar en Taiwán.
Las aplicaciones incluían «SangaalLite» (posiblemente un juego de palabras con «SignalLite», una aplicación utilizada en las campañas de 2021) y CChat (que imitaba una aplicación legítima del mismo nombre que existía anteriormente en Google Play).
Las aplicaciones estaban disponibles para su descarga en varios sitios de WordPress (ahora desaparecidos, aunque los hemos denunciado a WordPress de todos modos). La muestra más antigua se vio por primera vez en enero de 2023 (aunque los dominios que alojaban el malware se registraron ya en abril de 2022) y la más reciente fue de octubre de 2024. Creemos que la campaña ya ha terminado, o al menos está en pausa, ya que no hemos observado ninguna actividad desde entonces.
Por lo tanto, esta campaña estuvo activa durante al menos 22 meses, y quizás hasta dos años y medio. Sin embargo, el número de infecciones fue relativamente pequeño y, según nuestra evaluación, los actores de la amenaza que estaban detrás no estaban dirigidos al público en general.
No tenemos suficiente información para confirmar cómo se dirigía a los usuarios a los sitios de distribución de WordPress (por ejemplo, envenenamiento SEO, publicidad maliciosa, phishing, etc.), pero sabemos que los actores de amenazas detrás de las campañas anteriores de PJobRAT utilizaron una variedad de trucos para la distribución. Entre ellos se incluyen tiendas de aplicaciones de terceros, sitios legítimos comprometidos para alojar páginas de phishing, enlaces acortados para enmascarar las URL finales y personajes ficticios para engañar a los usuarios y que hagan clic en los enlaces o descarguen las aplicaciones camufladas. Además, es posible que los autores de la amenaza también distribuyeran enlaces a las aplicaciones maliciosas en foros militares.
Una vez en el dispositivo de un usuario y una vez iniciadas, las aplicaciones solicitan una gran cantidad de permisos, incluida una solicitud para dejar de optimizar el uso de la batería, con el fin de ejecutarse continuamente en segundo plano.
Las aplicaciones tienen una funcionalidad básica de chat, que permite a los usuarios registrarse, iniciar sesión y chatear con otros usuarios (por lo que, en teoría, los usuarios infectados podrían haberse enviado mensajes entre sí, si conocían los ID de usuario de los demás). También comprueban los servidores de comando y control (C2) en busca de actualizaciones al iniciarse, lo que permite al actor de la amenaza instalar actualizaciones de malware.
Un cambio de táctica
A diferencia de la campaña de 2021, las últimas versiones de PJobRAT no tienen una funcionalidad integrada para robar mensajes de WhatsApp. Sin embargo, sí incluyen una nueva funcionalidad para ejecutar comandos de shell. Esto aumenta enormemente las capacidades del malware, lo que permite al actor de la amenaza un control mucho mayor sobre los dispositivos móviles de las víctimas. Puede permitirles robar datos, incluidos los de WhatsApp, de cualquier aplicación del dispositivo, rootear el propio dispositivo, utilizar el dispositivo de la víctima para atacar y penetrar en otros sistemas de la red, e incluso eliminar silenciosamente el malware una vez que se han completado sus objetivos.
Comunicación
Las últimas variantes de PJobRat tienen dos formas de comunicarse con sus servidores C2. La primera es Firebase Cloud Messaging (FCM), una biblioteca multiplataforma de Google que permite a las aplicaciones enviar y recibir pequeñas cargas útiles (hasta 4000 bytes) desde la nube.
Como señalamos en nuestra cobertura de una campaña de malware móvil iraní en julio de 2023, FCM suele utilizar el puerto 5228, pero también puede utilizar los puertos 443, 5229 y 5230. FCM ofrece dos ventajas a los actores de amenazas: les permite ocultar su actividad C2 dentro del tráfico esperado de Android y aprovecha la reputación y la resistencia de los servicios basados en la nube.
El actor de la amenaza utilizó FCM para enviar comandos desde un servidor C2 a las aplicaciones y activar varias funciones RAT, entre las que se incluyen las siguientes:
| Comando | Descripción |
| _ace_am_ace_ | Cargar SMS |
| _pang_ | Cargar información del dispositivo |
| _file_file_ | Cargar archivo |
| _dir_dir_ | Cargar un archivo de una carpeta específica |
| __start__scan__ | Cargar lista de archivos multimedia y documentos |
| _kansell_ | Cancelar todas las operaciones en cola |
| _chall_ | Ejecutar un comando de shell |
| _kontak_ | Cargar contactos |
| _ambrc_ | Grabar y cargar audio |
Figura 5: tabla que muestra los comandos de PJobRAT
El segundo método de comunicación es HTTP. PJobRAT utiliza HTTP para cargar datos, incluyendo información del dispositivo, SMS, contactos y archivos (imágenes, audio/vídeo y documentos como archivos .doc y .pdf), al servidor C2.
El servidor C2 (ahora inactivo) (westvist[.]myftp[.]org) utilizaba un proveedor de DNS dinámico para enviar los datos a una dirección IP con sede en Alemania.
Conclusión
Aunque esta campaña en particular puede haber terminado, es un buen ejemplo del hecho de que los actores de amenazas a menudo se reestructuran y reorientan después de una campaña inicial, mejorando su malware y ajustando su enfoque, antes de atacar de nuevo.
Estaremos atentos a futuras actividades relacionadas con PJobRAT. Mientras tanto, los usuarios de Android deben evitar instalar aplicaciones desde enlaces que se encuentren en correos electrónicos, mensajes de texto o cualquier comunicación recibida de fuentes no confiables, y usar una aplicación de detección de amenazas móviles como Sophos Intercept X for Mobile para defenderse de tales amenazas.
Una lista de las aplicaciones, dominios de alojamiento y dominios C2 que descubrimos durante esta investigación está disponible en nuestro repositorio de GitHub. Las muestras descritas aquí son detectadas por Intercept X for Mobile como Andr/AndroRAT-M.