Kant's IT/Issue on IT&Security
PJobRAT 안드로이드 악성코드 캠페인 분석: 대만 사용자 대상 위장 채팅앱 공격
Kant Jo
2025. 5. 9. 23:49
PJobRAT Android Malware Masquerades as Dating and Messaging Apps to Target Military Personnel
PJobRAT Android Malware Masquerades as Dating and Messaging Apps to Target Military Personnel
PJobRAT, an Android Remote Access Trojan (RAT) first identified in 2019, has resurfaced in a new campaign targeting users in Taiwan.
gbhackers.com
PJobRAT Malware Campaign Targeted Taiwanese Users via Fake Chat Apps
- 개요
- PJobRAT은 2019년부터 활동한 안드로이드 기반 원격접근트로이목마(RAT)로, 초기에는 인도 군 인사 대상 공격에 사용
- 최근 캠페인에서는 대만 안드로이드 사용자를 대상으로 위장 채팅 앱(SangaalLite, CChat)을 통해 공격 수행
- 워드프레스 기반의 피싱 사이트에서 유포되었으며, 캠페인은 2023년 1월부터 2024년 10월까지 지속
- 악성코드 배포 및 감염 메커니즘
- 사용자에게 메신저 앱을 위장한 APK 설치를 유도해 감염
- 설치 시 광범위한 권한 요청을 통해 백그라운드에서 지속 실행 가능
- 피해자는 검색엔진 최적화(SEO) 악용, 피싱, 광고를 통해 악성 사이트로 유입된 것으로 추정
- 다음과 같은 악성 패키지명이 사용됨
org.complexy.hardcom.happyho.appsa.aangal.litenet.over.simple
- 수집 및 악성 행위 기능
- SMS, 연락처, 기기 정보, 위치 정보, 미디어 파일 탈취
- 스크린 콘텐츠 접근을 위한 접근성 권한 악용
- 외부 저장소 및 문서 파일 수집
- 기기 루팅 및 셸 명령 실행 기능 추가됨
- WhatsApp 특화 탈취 대신 전체 앱 데이터 접근 가능
- 필요 시 자기 삭제(Self-destruction) 기능 보유
- C2 통신 방식 변화
- 이전보다 정교한 이중 통신 구조 채택
- Firebase Cloud Messaging(FCM)을 통한 명령 수신
- HTTP POST 방식으로 탈취 데이터 업로드
- 감염 시 C2로부터 명령 및 악성 업데이트 확인 수행
- 이전보다 정교한 이중 통신 구조 채택
- 공격자 그룹 및 과거 연계 정보
- PJobRAT은 과거 Meta에 의해 파키스탄 기반 APT 그룹 SideCopy와 연결됨
- SideCopy는 인도, 아프가니스탄 정부·군 관련자를 표적으로 하는 사회공학 기반 공격 캠페인 수행 이력 보유
- 연애/소셜앱을 위장해 피해자의 신뢰를 얻는 로맨스 스캠 기반 접근 전략 활용
- 보안 권고
- 비공식 앱스토어 또는 출처 불명의 APK 설치 금지
- 안드로이드 디바이스에 Google Play Protect 기능 활성화 상태 유지
- 모바일 위협 탐지 솔루션(MTD) 도입을 통한 실시간 APK 분석 필요
- 접근성 권한 및 백그라운드 실행 앱 리스트에 대한 사용자 모니터링 강화
- 기업 및 정부기관은 업무용 디바이스에 앱 설치 제한 및 MDM 정책 강화
- 결론
- 본 캠페인은 APT 그룹이 기존 악성코드를 리패키징하여 지역 타깃에 맞게 전환하는 방식의 전형적인 예시
- 접근성 서비스 및 Firebase 기능 악용, 그리고 정상 커뮤니케이션 앱으로 위장하는 전술은 향후 모바일 RAT 탐지에 있어 핵심 요소가 될 것