Una nuova campagna di malware Android prende di mira gli utenti di Taiwan
Una famiglia di malware Android, precedentemente osservata mentre prendeva di mira il personale militare indiano, è stata collegata a una nuova campagna che sembra indirizzata agli utenti di Taiwan sotto le spoglie di app di chat. PJobRAT è in grado di rubare messaggi SMS, contatti telefonici, informazioni sul dispositivo e sulle app, documenti e file multimediali dai dispositivi Android infetti, come spiegato dal ricercatore di sicurezza di Sophos, Pankaj Kohli, in un’analisi di giovedì.
Documentato per la prima volta nel 2021, PJobRAT ha una storia di utilizzo contro obiettivi legati al settore militare indiano. Le iterazioni successive del malware sono state scoperte mentre si mascheravano da app di incontri e di messaggistica istantanea per ingannare le potenziali vittime. È noto che sia attivo almeno dalla fine del 2019.
Nel novembre 2021, Meta ha attribuito a un attore di minacce allineato al Pakistan, soprannominato SideCopy, l’uso di PJobRAT e Mayhem come parte di attacchi altamente mirati diretti contro persone in Afghanistan, in particolare quelle con legami con il governo, il settore militare e le forze dell’ordine. Questo gruppo ha creato personaggi fittizi — tipicamente giovani donne — come esche romantiche per costruire fiducia con i potenziali bersagli e indurli a cliccare su link di phishing o scaricare applicazioni di chat dannose.
Funzionalità avanzate di raccolta dati
PJobRAT è equipaggiato per raccogliere metadati del dispositivo, elenchi di contatti, messaggi di testo, registri delle chiamate, informazioni sulla posizione e file multimediali sul dispositivo o su archiviazione esterna collegata. È anche in grado di abusare dei permessi dei servizi di accessibilità per raccogliere contenuti sullo schermo del dispositivo.
Campagna mirata agli utenti Android taiwanesi
I dati di telemetria raccolti da Sophos mostrano che l’ultima campagna ha puntato gli utenti Android taiwanesi, utilizzando app di chat dannose chiamate SangaalLite e CChat per attivare la sequenza di infezione. Queste app erano disponibili per il download da diversi siti WordPress, con il primo artefatto risalente a gennaio 2023. La campagna, secondo l’azienda di cybersecurity, si è conclusa, o almeno è stata sospesa, intorno a ottobre 2024, il che significa che è stata operativa per quasi due anni. Tuttavia, il numero di infezioni è stato relativamente piccolo, suggerendo la natura mirata dell’attività.
Non è attualmente noto come le vittime siano state ingannate a visitare questi siti, anche se, se le campagne precedenti sono un’indicazione, è probabile che ci sia un elemento di ingegneria sociale. Una volta installate, le app richiedono permessi intrusivi che consentono loro di raccogliere dati e funzionare ininterrottamente in background.
Le app hanno una funzionalità di chat di base integrata, consentendo agli utenti di registrarsi, accedere e chattare con altri utenti (quindi, teoricamente, gli utenti infetti potrebbero essersi messaggiati tra loro, se conoscevano gli ID utente degli altri), ha detto Kohli. Controllano anche i server di comando e controllo (C2) per aggiornamenti all’avvio, consentendo all’attore della minaccia di installare aggiornamenti del malware.
Fonte: The Hackers News
