كشفت تحليلات أمنية حديثة عن حملة جديدة لبرمجية PJobRAT الخبيثة، والتي تستهدف مستخدمي أجهزة أندرويد في تايوان عبر تطبيقات دردشة مزيفة. وكانت هذه البرمجية قد استهدفت سابقًا أفرادًا عسكريين هنود.
وفقًا لتحليل باحث الأمن السيبراني بانكاج كوهلي من سوفوس، فإن برمجية PJobRAT قادرة على:
سرقة الرسائل النصية (SMS) وجهات اتصال الهاتف.
جمع بيانات الجهاز وتفاصيل التطبيقات.
استخراج الملفات والمستندات والوسائط من الأجهزة المصابة.
خلفية عن برمجية PJobRAT
تم توثيق PJobRAT لأول مرة في 2021، لكنها كانت نشطة منذ أواخر 2019. وقد تطورت لاحقًا لتتخفى في صورة تطبيقات مواعدة ومراسلة فورية لخداع الضحايا.
في نوفمبر 2021، أشارت ميتا (فيسبوك سابقًا) إلى أن مجموعة تهديدات تُعرف باسم SideCopy، والتي ترتبط بباكستان وتنتمي إلى مجموعة Transparent Tribe، استخدمت PJobRAT وبرمجية Mayhem في هجمات استهدفت أشخاصًا في أفغانستان، خاصة من لهم صلات بحكومة أو جيش أو إنفاذ قانون.
آلية عمل الحملة الجديدة
كشفت بيانات سوفوس أن الحملة الأخيرة ركزت على مستخدمي أندرويد في تايوان عبر تطبيقات دردشة خبيثة تحمل اسمي:
SangaalLite
CChat
وتم توزيع هذه التطبيقات عبر مواقع ووردبريس متعددة، حيث يعود أقدم ملف ضار إلى يناير 2023.
أسماء حزم الأندرويد المستخدمة في الهجوم:
org.complexy.hard
com.happyho.app
sa.aangal.lite
net.over.simple
كيف تعمل البرمجية الخبيثة؟
بعد تثبيت التطبيقات المزيفة، تطلب أذونات متطفلة تمكنها من:
جمع البيانات.
العمل في الخلفية دون انقطاع.
التحكم في الجهاز عبر أوامر Shell.
كما تحتوي التطبيقات على وظيفة دردشة أساسية، مما يسمح للمستخدمين بالتسجيل وتبادل الرسائل، مما قد يزيد من فرص انتشار العدوى.
تطورات جديدة في PJobRAT
إضافة ميزة تنفيذ أوامر Shell: تسمح للمهاجمين بسرقة محادثات واتساب والتحكم الكامل في الأجهزة المصابة.
تحديث آلية الاتصال بالسيرفرات (C2):
استخدام HTTP لرفع بيانات الضحايا.
استخدام Firebase Cloud Messaging (FCM) لإرسال أوامر Shell وسرقة المعلومات.
