Secondo una nuova ricerca, gli hacker hanno preso di mira gli utenti di Taiwan con il malware PJobRAT diffuso tramite app di messaggistica istantanea dannose.
Le app dannose, SangaalLite e CChat, sono state progettate per imitare piattaforme legittime, secondo un rapporto pubblicato giovedì dalla società di sicurezza informatica Sophos. Le app erano disponibili per il download su più siti WordPress, che da allora sono stati disattivati. I ricercatori ritengono che la campagna sia ora terminata o sia in pausa, poiché non è stata osservata alcuna attività recente.
PJobRAT, un trojan di accesso remoto Android identificato per la prima volta nel 2019, è stato precedentemente utilizzato per rubare messaggi SMS, contatti, informazioni sui dispositivi, documenti e file multimediali. Nel 2021, il malware è stato collegato ad attacchi al personale militare indiano tramite false app di incontri e messaggistica.
L'ultima campagna di cyber-spionaggio rivolta agli utenti di Taiwan è durata quasi due anni, ma ha colpito solo un numero limitato di utenti. I ricercatori hanno affermato che gli autori della minaccia si sono probabilmente concentrati nel colpire individui specifici.
A differenza delle versioni precedenti, l'ultimo malware PJobRAT non include funzionalità integrate per rubare messaggi WhatsApp. Tuttavia, offre agli aggressori un maggiore controllo sui dispositivi infetti, consentendo loro di rubare dati da varie applicazioni, utilizzare dispositivi compromessi per infiltrarsi nelle reti e persino rimuovere il malware una volta raggiunto il loro obiettivo.
Non è chiaro come gli autori della minaccia dietro PJobRAT abbiano distribuito le app dannose nell'ultima campagna. In precedenza, hanno utilizzato app store di terze parti, pagine di phishing ospitate su siti compromessi, link abbreviati a destinazioni finali oscure e falsi personaggi per ingannare le vittime.
Una volta installate, le app richiedono permessi estesi, tra cui la disattivazione dell'ottimizzazione della batteria per garantire che funzionino continuamente in background. Presentano funzionalità di chat di base, consentendo agli utenti di registrarsi e comunicare tra loro.
Sebbene l'ultima campagna sembri conclusa, "è un buon esempio del fatto che gli autori delle minacce spesso si riorganizzano e ritargettizzano dopo una campagna iniziale, apportando miglioramenti al loro malware e adattando il loro approccio, prima di colpire di nuovo", hanno affermato i ricercatori di Sophos.
Nessun commento:
Posta un commento