PJobRAT

Ett spionprogramhot som först upptäcktes 2019 har åter uppstått i en attackkampanj mot indisk militärpersonal. Forskarna som fångade operationen kan för närvarande inte tillskriva någon av de etablerade hackargrupperna. Men målens specifika karaktär tyder på att hotaktören kan vara relaterad till antingen Chine eller Pakistan.

PJobRAT Attack Detaljer

Hotet förkläds som olika daterings- eller snabbmeddelandeprogram. Flera av de olika identiteterna som hotet antar är 'Trendbanter', 'SignalLite', 'HangOn', 'Rita' och 'Ponam'. Applikationerna sprids genom tredjepartsplattformar för applikationsbutiker och annonseras som ett bekvämt sätt för ensamstående indianer som bor utomlands. Istället distribuerar alla dessa applikationer PJobRAT-skadlig programvara.

När det väl är etablerat på systemet kommer hotet att försöka blanda dess ikon bland de som redan finns på enheten. Faktum är att den faktiska ikonen sannolikt inte har något gemensamt med den som visas i tredjepartsapplikationen och istället kommer att likna ikoner för andra populära applikationer, som WhatsApp.

De hotande förmågorna hos PJobRAT

Huvudfunktionaliteten hos PJobRAT är att samla in och exfiltrera känslig information från enheterna som bryts. Det kan samla ett stort antal dokumenttyper - pdf, xls, doc, docx, xlsx, ppt och pptx och ladda upp dem till en fjärrserver. Spionprogrammet kan också komma åt privat data från applikationer som WhatsApp och samla privata konversationer och kontaktlistor. Dessutom tillåter PJobRAT hotaktörerna att spela in ljud och video via enhetens mikrofon och kamera.

Ett märkligt faktum upptäcktes av forskningsexperter. Tydligen lagras all den samlade informationen på en privat server som är tillgänglig offentligt. Om detta är avsiktligt eller hackarna bara är slarviga och amatörmässiga, kan de inte fastställas för tillfället.