Keluarga malware Android yang sebelumnya mengamati yang menargetkan personel militer India telah dikaitkan dengan kampanye baru yang kemungkinan ditujukan untuk pengguna di Taiwan dengan kedok aplikasi obrolan.
“Pjobrat dapat mencuri pesan SMS, kontak telepon, informasi perangkat dan aplikasi, dokumen, dan file media dari perangkat Android yang terinfeksi,” kata peneliti keamanan Sophos Pankaj Kohli dalam analisis Kamis.
Pjobrat, pertama kali didokumentasikan pada tahun 2021, memiliki rekam jejak yang digunakan melawan target terkait militer India. Iterasi malware selanjutnya telah ditemukan menyamar sebagai aplikasi kencan dan pesan instan untuk menipu calon korban. Ini diketahui aktif sejak setidaknya akhir 2019.
Pada bulan November 2021, Meta mengaitkan aktor ancaman yang selaras dengan Pakistan yang dijuluki Sidecopy-diyakini sebagai sub-cluster dalam suku transparan-dengan penggunaan Pjobrat dan Mayhem sebagai bagian dari serangan yang sangat bertarget yang diarahkan terhadap orang-orang di Afghanistan, khususnya yang memiliki ikatan ke pemerintah, militer, dan militer, dan hukum.
“Kelompok ini menciptakan persona fiktif – biasanya wanita muda – sebagai umpan romantis untuk membangun kepercayaan dengan target potensial dan menipu mereka untuk mengklik tautan phishing atau mengunduh aplikasi obrolan jahat,” kata Meta saat itu.
Pjobrat dilengkapi untuk memanen metadata perangkat, daftar kontak, pesan teks, log panggilan, informasi lokasi, dan file media pada perangkat atau penyimpanan eksternal yang terhubung. Ini juga mampu menyalahgunakan izin layanan aksesibilitasnya untuk mengikis konten di layar perangkat.
Data telemetri yang dikumpulkan oleh Sophos menunjukkan bahwa kampanye terbaru melatih pandangannya pada pengguna Android Taiwan, menggunakan aplikasi obrolan berbahaya bernama Sangaallite dan CChat untuk mengaktifkan urutan infeksi. Ini dikatakan telah tersedia untuk diunduh dari beberapa situs WordPress, dengan artefak paling awal sejak Januari 2023.
Kampanye, per perusahaan cybersecurity, berakhir, atau setidaknya berhenti, sekitar Oktober 2024, yang berarti telah beroperasi selama hampir dua tahun. Yang mengatakan, jumlah infeksi relatif kecil, menunjukkan sifat aktivitas yang ditargetkan. Nama -nama nama paket Android tercantum di bawah ini –
- org.complexy.hard
- com.happyho.app
- Sa.aangal.lite
- net.over.Simple
Saat ini tidak diketahui bagaimana para korban tertipu untuk mengunjungi situs -situs ini, meskipun, jika kampanye sebelumnya merupakan indikasi, kemungkinan akan memiliki unsur rekayasa sosial. Setelah diinstal, aplikasi meminta izin mengganggu yang memungkinkan mereka untuk mengumpulkan data dan berjalan tanpa gangguan di latar belakang.
“Aplikasi memiliki fungsionalitas obrolan dasar bawaan, memungkinkan pengguna untuk mendaftar, login, dan mengobrol dengan pengguna lain (jadi, secara teoritis, pengguna yang terinfeksi dapat saling mengirim pesan, jika mereka saling mengenal ID pengguna satu sama lain),” kata Kohli. “Mereka juga memeriksa server perintah-dan-kontrol (C2) untuk pembaruan saat start-up, memungkinkan aktor ancaman untuk menginstal pembaruan malware.”
Tidak seperti versi sebelumnya dari Pjobrat yang menyimpan kemampuan untuk mencuri pesan WhatsApp, rasa terbaru mengambil pendekatan yang berbeda dengan memasukkan fitur baru untuk menjalankan perintah shell. Ini tidak hanya memungkinkan para penyerang kemungkinan menyedot obrolan WhatsApp tetapi juga melakukan kontrol yang lebih besar atas telepon yang terinfeksi.
Pembaruan lain menyangkut mekanisme perintah-dan-kontrol (C2), dengan malware sekarang menggunakan dua pendekatan yang berbeda, menggunakan HTTP untuk mengunggah data korban dan Firebase Cloud Messaging (FCM) untuk mengirim perintah shell serta informasi exfiltrate.
“Meskipun kampanye khusus ini mungkin sudah berakhir, ini adalah ilustrasi yang baik tentang fakta bahwa aktor ancaman akan sering kali memperlengkapi kembali dan menargetkan ulang setelah kampanye awal – membuat perbaikan pada malware mereka dan menyesuaikan pendekatan mereka – sebelum menyerang lagi,” kata Kohli.
