【安全资讯】PJobRAT：针对印度军事人员的间谍软件

研究人员发现一起主要针对印度军事相关目标的攻击活动，活动中使用了一种新的Android恶意软件，研究人员根据恶意软件包结构将其命名为PJobRAT。PJobRAT主要伪装成印度婚恋交友和即时通讯软件，通过Firebase Cloud Message（FCM）消息推送功能实现从服务器端向客户端发送指令。研究人员推测本次攻击时间从2021年1月开始，主要针对印度军事人员。

PJobRAT伪装成最新版的印度约会和婚姻应用软件Trendbanter，汇集了居住在美国、英国、加拿大、澳大利亚和世界各地的数千名印度单身人士。研究人员发现，PJobRAT在桌面和应用列表中，展示的图标不同，从而达到更好的隐藏效果。在桌面上伪装成Whatsapp图标，而在应用安装列表上才展示为Trendbanter的图标，如下图：

PJobRAT会对手机中指定后缀的文档进行上传，文档类型包括pdf、doc、docx、xls、xlsx、ppt和pptx。PJobRAT还能够通过Android辅助功能获取窗口节点信息，进一步获取隐私数据。窃取的数据包括手机中短信、联系人、图片、文档、音频、视频以及已安装的APP列表等。窃取的数据类型分布如下：

数据类型分布图

PJobRAT其他恶意功能还包括：

• 1.上传通讯录
• 2.上传短信
• 3.上传音频文件
• 4.上传视频文件
• 5.上传图片文件
• 6.上传已安装应用列表
• 7.上传外部存储文件列表
• 8.上传WIFI、地理位置等信息
• 9.更新电话号码
• 10.录音

虽然攻击者选取了当下流行的婚恋交友和即时通讯软件这两类软件进行伪装，但是受害者身份又具有明确的指向性，针对印度军事人员，因此研究人员推测本次攻击的载荷投递方式可能是通过军事相关论坛或是军事社交群组。目前，研究人员仍在进一步进行追踪。