PJobRAT
A Sophos X-Ops jelentése szerint a PJobRAT nevű Android-alapú RAT (távoli hozzáférésű trójai) először 2019-ben került azonosításra, és azóta többször is megfigyelték különböző kampányokban. 2021-ben például indiai katonai állományt céloztak meg vele, hamis társkereső és azonnali üzenetküldő alkalmazásoknak álcázva. A legfrissebb jelentések szerint a PJobRAT visszatért, ezúttal tajvani felhasználókat támadva meg hamis csevegőalkalmazásokon keresztül.
A legújabb kampány során a rosszindulatú szoftver olyan alkalmazásoknak álcázta magát, mint a SangaalLite és a CChat, amelyek valós csevegőplatformoknak tűnnek. Ezek az alkalmazások különböző WordPress oldalakról voltak letölthetők, és a kampány legalább 22 hónapig, 2023 januárjától 2024 októberéig tartott. Bár a fertőzések száma viszonylag alacsony volt, ez arra utal, hogy a támadók célzottan, nem pedig a nagyközönséget célozva hajtották végre akcióikat.
A PJobRAT képes SMS-üzeneteket, telefonos névjegyeket, eszköz- és alkalmazásinformációkat, dokumentumokat és médiafájlokat ellopni a fertőzött Android-eszközökről. A legújabb változatok új funkciókkal is bővültek, például képesek shell parancsokat futtatni, ami nagyobb irányítást biztosít a támadóknak az áldozatok eszközei felett. Ez lehetővé teszi számukra, hogy adatokat szerezzenek meg bármely alkalmazásból, beleértve a WhatsApp-ot is, valamint további rosszindulatú szoftvereket telepítsenek vagy eltávolítsanak.
Az alkalmazások telepítése után széleskörű engedélyeket kérnek, beleértve a háttérben való folyamatos futáshoz szükséges akkumulátor-optimalizálás letiltását. Bár alapvető csevegési funkciókat kínálnak, valószínűleg kevés valódi felhasználóval rendelkeznek, mivel a támadók fő célja az adatok gyűjtése és az eszközök feletti ellenőrzés megszerzése.
