PJobRAT
Een spywarebedreiging die voor het eerst werd ontdekt in 2019, is opnieuw naar voren gekomen in een aanvalscampagne tegen Indiase militairen. De onderzoekers die de operatie hebben betrapt, kunnen deze momenteel niet toeschrijven aan een van de gevestigde hackergroepen. De specifieke aard van de doelen suggereert echter dat de dreigingsactor gerelateerd zou kunnen zijn aan China of Pakistan.
Details van PJobRAT-aanval
De dreiging wordt vermomd als verschillende dating- of instant messaging-applicaties. Verschillende van de verschillende identiteiten die door de dreiging worden aangenomen, zijn 'Trendbanter', 'SignalLite', 'HangOn', 'Rita' en 'Ponam'. De applicaties worden verspreid via externe applicatiewinkelplatforms en geadverteerd als een handige manier voor alleenstaande Indiërs die in het buitenland wonen om samen te komen. In plaats daarvan implementeren al deze applicaties de PJobRAT-malware.
Als de dreiging eenmaal op het systeem is geïnstalleerd, zal hij proberen zijn pictogram te combineren met de pictogrammen die al op het apparaat aanwezig zijn. In feite heeft het eigenlijke pictogram waarschijnlijk niets gemeen met het pictogram dat wordt weergegeven in de applicatiewinkel van derden en in plaats daarvan zal het vergelijkbaar zijn met pictogrammen van andere populaire applicaties, zoals WhatsApp.
De dreigende mogelijkheden van PJobRAT
De belangrijkste functionaliteit van PJobRAT is het verzamelen en exfiltreren van gevoelige informatie van de geschonden apparaten. Het kan een breed scala aan documenttypen verzamelen - pdf, xls, doc, docx, xlsx, ppt en pptx en deze uploaden naar een externe server. De spyware kan ook toegang krijgen tot privégegevens van applicaties zoals WhatsApp en privégesprekken en contactlijsten verzamelen. Bovendien stelt PJobRAT de dreigingsactoren in staat om audio en video op te nemen via de microfoon en camera van het apparaat.
Een eigenaardig feit werd ontdekt door onderzoeksexperts. Blijkbaar wordt alle verzamelde informatie opgeslagen op een privéserver die openbaar toegankelijk is. Of dit opzettelijk is of de hackers net zo onvoorzichtig en amateuristisch zijn, kan op dit moment niet worden vastgesteld.
