PJobRAT, un cheval de Troie d’accès à distance (RAT) pour Android, identifié pour la première fois en 2019, a refait surface dans une nouvelle campagne ciblant les utilisateurs à Taïwan.
Initialement, PJobRAT était connu pour cibler le personnel militaire indien en se faisant passer pour des applications de rencontre et de messagerie instantanée.
La dernière version de ce malware a évolué et se déguise désormais sous les noms d’applications telles que “SangaalLite” et “CChat”, qui étaient distribuées via des sites WordPress aujourd’hui désactivés.
Ces sites ont été actifs au moins de janvier 2023 à octobre 2024, bien que les domaines aient été enregistrés dès avril 2022.
Mode de distribution et infection
Le malware était propagé via de fausses applications imitant des services de messagerie légitimes.
Une fois installées, ces applications demandent des permissions étendues, notamment la possibilité de contourner l’optimisation de la batterie, leur permettant ainsi de fonctionner en continu en arrière-plan.
Les utilisateurs étaient probablement dirigés vers ces sites malveillants par différentes tactiques telles que le référencement toxique (SEO poisoning), la publicité malveillante (malvertising) ou le phishing, bien que les méthodes exactes utilisées dans cette campagne ne soient pas confirmées.
Historiquement, les acteurs derrière PJobRAT ont utilisé divers méthodes de distribution, y compris des magasins d’applications tiers et des sites compromis.
Capacites Améliorées
Les versions les plus récentes de PJobRAT ont connu des mises à jour significatives, notamment dans leur capacité à exécuter des commandes shell.
Selon le rapport, cette amélioration permet au malware de potentiellement voler des données de n’importe quelle application sur l’appareil, d’obtenir un accès root ou même de se supprimer silencieusement après avoir atteint ses objectifs. Contrairement aux versions précédentes, le nouveau PJobRAT ne cible pas spécifiquement les messages WhatsApp, mais peut accéder aux données de n’importe quelle application
Il communique avec ses serveurs de commande et de contrôle (C2) en utilisant Firebase Cloud Messaging (FCM) et HTTP, ce qui lui permet de téléverser des données volées telles que des messages SMS, des contacts et des fichiers.
La campagne semble avoir pris fin, avec aucune activité récente observée. Cependant, cette résurrection met en lumière la capacité d’adaptation des cybercriminels, qui affinent constamment leurs tactiques et malwares pour éviter d’être détectés.
Les utilisateurs d’Android en Algérie sont conseillés d’éviter d’installer des applications provenant de sources non fiables et d’utiliser un logiciel de détection des menaces mobiles pour se protéger contre de telles menaces.
DZBytes reste votre source de technologie en Algérie, vous apportant les dernières informations sur la sécurité numérique et l’actualité technologique algérienne.