** 本記事は、PJobRAT makes a comeback, takes another crack at chat apps の翻訳です。最新の情報は英語記事をご覧ください。**
2021 年に、研究者たちは 2019 年に初めて確認された Android RAT 「PJobRAT」が、さまざまな出会い系アプリやインスタントメッセージングアプリを模倣することで、インドの軍関係者を標的にしていたことを報告しました。それ以来、PJobRAT に関する新しい情報はほとんどありませんでしたが、最近の脅威ハンティング中に Sophos X-Ops の研究者が台湾のユーザーを標的にした新たなキャンペーンを発見しました。
PJobRAT は感染先の Android デバイスから SMS メッセージ、電話連絡先、デバイスとアプリ情報、ドキュメント、メディアファイルを窃取することができます。
配信と感染
最新のキャンペーンにおいて、X-Ops の研究者はインスタントメッセージングアプリを装った PJobRAT のサンプルを発見しました。ソフォスのテレメトリでは、標的ユーザーはすべて台湾を拠点としているようでした。
「SangaalLite」 (2021 年の攻撃キャンペーンで使用されたアプリ「SignalLite」をもじったものと思われる) や「CChat」(以前 Google Play に存在した同名の正規アプリを模倣したもの) などのアプリが使用されていました。
これらのアプリは、さまざまな WordPress サイトからダウンロード可能でした (現在はダウンロードできませんが、WordPress には報告済)。最も古いサンプルは 2023 年 1 月に初めて確認され (ただし、マルウェアをホストするドメインは 2022 年 4 月に登録されていました)、最新のものは 2024 年 10 月のものでした。それ以降の活動は観測されていないため、このキャンペーンは終了したか、少なくとも一時停止していると思われます。
したがって、このキャンペーンは少なくとも 22 か月間、おそらく 2 年半にもわたって実施されていたことになります。しかし、感染者数は比較的少なく、このキャンペーンの攻撃者は不特定多数を標的にしてはいなかったとソフォスは考えています。
図 1: 悪意のある配布サイト例 – このサイトでは、WordPress の定型テンプレートが表示され、サンプルをダウンロードするためのリンクが貼られています。
図 2: SaangalLite という偽のチャットアプリをホストする別の悪意のある配布サイト
ユーザーがどのようにして WordPress の配布サイト (SEO ポイズニング、不正広告、フィッシングなど) に誘導されたのかを確認するのに十分な情報はありませんが、以前の PJobRAT キャンペーンの攻撃者は、偽アプリの配信のためにさまざまな手法を使用したことがわかっています。たとえば、サードパーティのアプリストア、フィッシングページをホストするための正規サイトの侵害、最終的な URL を隠すための短縮リンク、ユーザーを騙してリンクをクリックさせたり偽アプリをダウンロードさせたりするための架空の人物へのなりすましが挙げられます。さらに、攻撃者は軍事フォーラムで悪意のあるアプリへのリンクを配布した可能性があります。
ユーザーのデバイス上で起動すると、アプリはバックグラウンドで継続的に実行するために、バッテリー使用の最適化を停止することなど、多くの許可を要求します。
図 3: 悪意のある SaangalLite アプリのインターフェイスのスクリーンショット
このアプリには基本的なチャット機能が組み込まれており、ユーザーは登録、ログイン、他のユーザーとのチャットを行えます (そのため、理論上お互いのユーザー ID を知ってさえいれば、感染したユーザー同士でメッセージをやり取りできます)。また、起動時にコマンドアンドコントロール (C2) サーバーのアップデートを確認するため、攻撃者はマルウェアのアップデートをインストールできます。
戦術の転換
2021 年のキャンペーンとは異なり、PJobRAT の最新版には WhatsApp のメッセージを窃取する機能は組み込まれていません。しかし、シェルコマンドを実行する新機能は搭載されています。この機能により、マルウェアの機能が大幅に強化され、標的のモバイルデバイスをより強く制御できるようになります。デバイス上のあらゆるアプリから (WhatsApp などの) データを盗み出したり、デバイス自体を root 化したり、標的のデバイスを使用してネットワーク上の他のシステムを標的にして侵入したり、さらには目的が完了した後にマルウェアを気づかれないように削除したりすることも可能です。
図 4: シェルコマンドを実行するコード
コミュニケーション
PJobRat の最新の亜種は、2 つの方法で C2 サーバーと通信します。1 つ目は Firebase Cloud Messaging (FCM) です。FCM は Google によるクロスプラットフォームライブラリであり、アプリがクラウドから小さなペイロード (最大 4,000 バイト) を送受信することを可能にします。
2023 年 7 月のイランのモバイルマルウェアキャンペーン (リンク先: 英語) についての記事にあるように、FCM は通常 5228 番ポートを使用しますが、443 番ポート、5229 番ポート、5230 番ポートを使用する場合もあります。FCM は、攻撃者に 2 つの利点をもたらします。1 つは、C2 活動を通常の Android トラフィック中に秘匿できること、もう 1 つは、クラウドベースサービスの評判とレジリエンスを悪用できることです。
攻撃者は FCM を使って C2 サーバーからアプリにコマンドを送信し、以下のような RAT 機能を起動させました。
| コマンド | 説明 |
| _ace_am_ace_ | SMS をアップロードする |
| _pang_ | デバイス情報をアップロードする |
| _file_file_ | ファイルをアップロードする |
| _dir_dir_ | 特定のフォルダからファイルをアップロードする |
| __start__scan__ | メディアファイルとドキュメントのリストをアップロードする |
| _kansell_ | キュー内の活動をすべてキャンセルする |
| _chall_ | シェルコマンドを実行する |
| _kontak_ | 連絡先をアップロードする |
| _ambrc_ | 音声を記録し、アップロードする |
図 5: PjobRAT のコマンド
2 つ目の通信方法は HTTP です。PJobRAT は、デバイス情報、SMS、連絡先、ファイル (画像、オーディオ/ビデオ、.doc や .pdf ファイルのようなドキュメント) を含むデータを C2 サーバーにアップロードするために HTTP を使用します。
(現在は稼働していない) C2 サーバー (westvist[.]myftp[.]org) は、動的 DNS プロバイダーを使って、ドイツを拠点とする IP アドレスにデータを送信していました。
図 6: 感染したデバイスからデバイス情報を窃取 (ソフォスのテストより)
図 7: 感染したデバイスから連絡先を窃取 (ソフォスのテストより)
図 8: 感染したデバイスからファイルのリストを窃取 (ソフォスのテストより)
結論
今回のキャンペーンは、多くの攻撃者が最初の攻撃キャンペーン後に再調整や再ターゲティングを行うなど、マルウェアの改良やアプローチの調整後に攻撃を再開することを示しています。
ソフォスは今後も PJobRAT に関連する活動を注視し続けます。一方、Android ユーザーは、電子メール、テキストメッセージ、または信頼できない送信元から受信した通信に含まれるリンクからアプリをインストールしないように注意してください。Sophos Intercept X for Mobile などのモバイル脅威検出アプリを使用して、このような脅威から身を守ってください。
今回の調査で発見したアプリ、ホスティングドメイン、C2 ドメインのリストは、ソフォスの GitHub リポジトリで公開しています。本記事に記載されているサンプルは、Intercept X for Mobile によって Andr/AndroRAT-M として検出されます。
