Sophos X-Ops 연구팀이 2019년 처음 발견된 Android RAT(Remote Access Trojan)을 최근에 발견했다. (2025. 03. 27)
2019년 처음 발견된 Android RAT는 2021년 인도 군인을 타겟으로 한 다양한 데이팅 앱, 메신저 앱에서 발견되었는데 이번에는 대만 사용자를 대상으로 하는 앱에서 발견되었다.
PJobRAT은 SMS, 연락처, 장치 & 앱 정보, 문서 등을 탈취 가능하다.
배포 및 감염 경로
PJobRAT은 대만에서 사용되는 SangaaILite와 CChat에 숨겨져 있었다.
(SangaaILite는 SingalLite에서 따온것으로 보이며, CChat은 이전에 Google Play에 존재했던 앱이다.) – 카카오톡을 키카오톡으로 배포한 느낌
이 앱들은 여러 WordPress사이트에서 다운로드 가능했으며, 현재 모두 폐쇄된 상태다.
악성코드가 호스팅된 도메인은 2022년 4월에 등록되었으며 첫 앱은 2023년 1월에 발견되었다. 그리고 가장 최근 앱은 2024년 10월에 발견된것으로 보아 약 1~2년간 활동 한 것으로 보인다.
이 앱을 설치하면 다양한 권한을 요청하며 배터리 최적화를 해제해 백그라운드에서 계속 실행될 수 있도록 설정한다.
2021년에 발견된 앱은 WhatsApp 메시지 탈취 기능이 있었지만, 이번에 발견된 앱은 쉘 명령어 실행이 가능했다.
C2서버와 통신하기 위해 FCM(Firebase Cloud Messaging, 5228, 443, 5229, 5230 포트)과 HTTP(westvist.myftp.orrg)를 이용했다.
명령어 제어는 FCM을 이용했고, FCM 명령에 따라 수집된 데이터는 HTTP 프로토콜로 C2서버에 업로드 시켰다.
Leave a Reply