PJobRAT, 군대 관련 인도인을 표적으로하는 스파이웨어

 

 

PJobRAT：针对印度军事人员的间谍软件

최근 360 Fiberhome Lab은 인도의 군대 관련 표적을 대상으로 하는 공격을 발견했습니다. 

샘플 분석 결과, 공격은 2021년 1월에 시작된 것으로 추정되었습니다. 이 공격은 새로운 안드로이드 악성코드를 사용했으며 공격에서 사용된 악성코드는 패키지 구조의 이름에 따라 PJobRAT로 명명되었습니다. 

PJobRAT는 인도의 데이트 및 결혼 중개 앱 Trendbanter의 최신 버전으로 위장하여 유포되었습니다. Trendbanter는 미국, 영국, 캐나다, 호주를 포함하여 전 세계에 거주하는 인도인이 사용하는 최대 규모의 결혼 및 데이트 관련 채팅 앱입니다.

 

<이미지 출처:  https://blogs.360.cn/post/analysis-of-PJobRAT.html>

PJobRAT는 악성 기능을 숨기기 위해 바탕화면과 앱 목록에서 다른 아이콘을 표시합니다. 

PJobRAT는 바탕화면에서 Whatsapp 아이콘으로 위장하였으며 응용 프로그램 설치 목록에서는 Trendbanter 아이콘으로 표시되어 숨김 효과를 극대화했습니다.

<이미지 출처: https://blogs.360.cn/post/analysis-of-PJobRAT.html>

분석 결과, PJobRAT는 pdf, doc, docx, xls, xlsx, ppt, pptx 등으로 끝나는 이름의 문서 파일을 휴대폰에 업로드하는 것으로 나타났습니다.

PJobRAT는 또한 안드로이드 접근성 기능을 통해 Whatsapp 연락처 목록 및 대화 내용과 같은 개인 데이터를 추가로 얻을 수 있습니다. 공격자는 SMS, 연락처, 사진, 문서, 오디오, 비디오, 휴대폰에 설치된 앱 목록 등의 데이터를 탈취한 것으로 나타났습니다.

PJobRAT에는 주로 Firebase 클라우드 메시지(FCM) 및 HTTP의 두 가지 통신 방법이 포함됩니다. FCM 메시지 푸시 기능을 사용하면 서버에서 클라이언트로 명령을 보낼 수 있으며 HTTP를 통해 서버에 개인 정보 파일을 업로드할 수 있습니다. 

360 Fiberhome Lab의 연구원들은 피해자 정보를 업로드하기 위해 동일한 프라이버시 반환 서버 주소를 사용하는 4개의 애플리케이션과 Trendbanternew이 연결되어 있으며, 이러한 애플리케이션은 채팅 앱인 Signal과 HangOn Messenger로 위장하고 있다는 것을 발견했습니다. 발견 시점을 기준으로 이 공격은 2021년 1월에 시작된 것으로 추정됩니다.

분석 결과, 개인 반송 서버는 공개적으로 접근할 수 있는 것으로 나타났습니다. 서버의 각 폴더는 장치를 나타내며 각 폴더는 데이터 범주에 따라 탈취한 개인정보를 저장합니다. 

도난된 데이터에는 SMS, 연락처, 사진, 문서, 오디오, 비디오, 휴대폰에 설치된 앱 목록이 포함됩니다. 전문가들은 공격자가 탈취한 데이터를 바탕으로 PJobRAT를 사용한 공격이 군사 관련 배경을 가진 인도인을 겨냥한 것으로 추측했습니다.

PJobRAT 악성코드는 데이팅 앱 및 채팅 앱으로 위장해 유포됐지만 군사 관련 배경을 가진 인도인을 노렸다는 점에서 명확한 지향성을 가지고 있습니다.

 

따라서 보안 전문가들은 이 공격의 페이로드 전달 방법은 군사 관련 포럼과 관련이 있을 것으로 추측했지만 공격자의 신원 정보를 판단할 수 있는 결정적인 증거는 아직 발견되지 않았습니다.

 

 

출처:
https://blogs.360.cn/post/analysis-of-PJobRAT.html