Une famille de logiciels malveillants Android a précédemment observé le ciblage du personnel militaire indien a été lié à une nouvelle campagne destinée aux utilisateurs de Taiwan sous le couvert d’applications de chat.
“Pjobrat peut voler des messages SMS, des contacts téléphoniques, des informations sur l’appareil et les applications, les documents et les fichiers multimédias des appareils Android infectés”, chercheur en sécurité Sophos Pankaj Kohli dit Dans une analyse jeudi.
Pjobrat, premier documenté En 2021, a fait référence à son utilisation contre les cibles indiennes liées à l’armée. Les itérations ultérieures des logiciels malveillants ont été découvertes de dégagement comme des applications de rencontres et de messagerie instantanée pour tromper les victimes potentielles. Il est connu pour être actif depuis au moins fin 2019.
En novembre 2021, Meta a attribué un acteur de menace aligné par le Pakistan surnommé SideCopy – considéré comme un sous-cluster au sein de la tribu transparente – à l’utilisation du pjobrat et du chaos dans le cadre d’attaques hautement ciblées dirigées contre les personnes en Afghanistan, spécifiquement celles ayant des ties au gouvernement, militaire et à l’application de la loi.
“Ce groupe a créé des personnages fictifs – généralement des jeunes femmes – comme des leurres romantiques pour établir la confiance avec des cibles potentielles et les inciter à cliquer sur des liens de phishing ou à télécharger des applications de chat malveillantes”, a déclaré Meta à l’époque.
Pjobrat est équipé pour récolter les métadonnées du périphérique, les listes de contacts, les messages texte, les journaux d’appels, les informations de localisation et les fichiers multimédias sur l’appareil ou le stockage externe connecté. Il est également capable d’abuser de ses autorisations d’accessibilité pour gratter le contenu sur l’écran de l’appareil.
Les données de télémétrie recueillies par Sophos montrent que la dernière campagne a formé ses vues sur les utilisateurs d’Android taïwanais, en utilisant des applications de chat malveillantes nommées Sangaallite et CCHAT pour activer la séquence d’infection. Ceux-ci auraient été disponibles en téléchargement à partir de plusieurs sites WordPress, avec le premier artefact datant de janvier 2023.
La campagne, selon la société de cybersécurité, a pris fin, ou du moins à une pause, vers octobre 2024, ce qui signifie qu’elle était opérationnelle depuis près de deux ans. Cela dit, le nombre d’infections était relativement faible, suggérant la nature ciblée de l’activité. Les noms des noms des packages Android sont répertoriés ci-dessous –
- org.complexy.hard
- com.happyho.app
- sa.aangal.lite
- net.over.simple
On ne sait actuellement pas comment les victimes ont été trompées pour visiter ces sites, bien que, si les campagnes antérieures sont une indication, il est susceptible d’avoir un élément d’ingénierie sociale. Une fois installés, les applications demandent des autorisations intrusives qui leur permettent de collecter des données et d’exécuter sans interruption en arrière-plan.
“Les applications ont une fonctionnalité de chat de base intégrée, permettant aux utilisateurs de s’inscrire, de se connecter et de discuter avec d’autres utilisateurs (donc, théoriquement, les utilisateurs infectés auraient pu me envoyer des messages s’ils connaissaient les ID utilisateur de l’autre)”, a déclaré Kohli. “Ils vérifient également les serveurs de commande et de contrôle (C2) pour les mises à jour au démarrage, permettant à l’acteur de menace d’installer des mises à jour de logiciels malveillants.”
Contrairement aux versions précédentes de Pjobrat qui hébergeaient la possibilité de voler les messages WhatsApp, la dernière saveur adopte une approche différente en incorporant une nouvelle fonctionnalité pour exécuter les commandes Shell. Cela permet non seulement aux attaquants de siphonner les chats WhatsApp, mais aussi d’exercer un plus grand contrôle sur les téléphones infectés.
Une autre mise à jour concerne le mécanisme de commande et de contrôle (C2), avec le malware utilisant désormais deux approches différentes, en utilisant HTTP pour télécharger les données de la victime et la messagerie Cloud Firebase (FCM) pour envoyer des commandes de shell ainsi que des informations d’exfiltrat.
“Bien que cette campagne particulière puisse être terminée, c’est une bonne illustration du fait que les acteurs de la menace réorganisent souvent et retargent après une première campagne – apportant des améliorations à leurs logiciels malveillants et en ajustant leur approche – avant de retirer à nouveau”, a déclaré Kohli.




