وفقًا لتحليل باحث الأمن السيبراني بانكاج كوهلي من سوفوس، فإن برمجية PJobRAT قادرة على:

سرقة الرسائل النصية (SMS) وجهات اتصال الهاتف.

جمع بيانات الجهاز وتفاصيل التطبيقات.

استخراج الملفات والمستندات والوسائط من الأجهزة المصابة.

خلفية عن برمجية PJobRAT

تم توثيق PJobRAT لأول مرة في 2021، لكنها كانت نشطة منذ أواخر 2019. وقد تطورت لاحقًا لتتخفى في صورة تطبيقات مواعدة ومراسلة فورية لخداع الضحايا.

في نوفمبر 2021، أشارت ميتا (فيسبوك سابقًا) إلى أن مجموعة تهديدات تُعرف باسم SideCopy، والتي ترتبط بباكستان وتنتمي إلى مجموعة Transparent Tribe، استخدمت PJobRAT وبرمجية Mayhem في هجمات استهدفت أشخاصًا في أفغانستان، خاصة من لهم صلات بحكومة أو جيش أو إنفاذ قانون.

آلية عمل الحملة الجديدة

كشفت بيانات سوفوس أن الحملة الأخيرة ركزت على مستخدمي أندرويد في تايوان عبر تطبيقات دردشة خبيثة تحمل اسمي:

SangaalLite

CChat

وتم توزيع هذه التطبيقات عبر مواقع ووردبريس متعددة، حيث يعود أقدم ملف ضار إلى يناير 2023.

أسماء حزم الأندرويد المستخدمة في الهجوم:

org.complexy.hard

com.happyho.app

sa.aangal.lite

net.over.simple

كيف تعمل البرمجية الخبيثة؟

بعد تثبيت التطبيقات المزيفة، تطلب أذونات متطفلة تمكنها من:

جمع البيانات.

العمل في الخلفية دون انقطاع.

التحكم في الجهاز عبر أوامر Shell.

كما تحتوي التطبيقات على وظيفة دردشة أساسية، مما يسمح للمستخدمين بالتسجيل وتبادل الرسائل، مما قد يزيد من فرص انتشار العدوى.

تطورات جديدة في PJobRAT

إضافة ميزة تنفيذ أوامر Shell: تسمح للمهاجمين بسرقة محادثات واتساب والتحكم الكامل في الأجهزة المصابة.

تحديث آلية الاتصال بالسيرفرات (C2):

استخدام HTTP لرفع بيانات الضحايا.

استخدام Firebase Cloud Messaging (FCM) لإرسال أوامر Shell وسرقة المعلومات.