Sophos X-Ops baru-baru ini mengungkapkan kampanye baru yang melibatkan PJobRAT, sebuah Trojan Akses Jarak Jauh (RAT) untuk Android yang pertama kali ditemukan pada 2019. Kampanye terbaru ini, yang tampaknya menargetkan pengguna di Taiwan, membawa kembali malware terkenal ini ke dalam sorotan setelah periode ketidakaktifan. Kampanye ini, yang sekarang tampaknya telah berakhir, menyoroti sifat ancaman yang terus berkembang ini, yang terus menggunakan aplikasi chat sebagai sarana untuk kegiatan jahatnya.
Latar Belakang PJobRAT
PJobRAT adalah RAT Android yang sangat invasif dan dikenal dapat mencuri informasi sensitif dari perangkat yang terinfeksi. Ini termasuk pesan SMS, kontak telepon, informasi perangkat dan aplikasi, serta file media dan dokumen. Pertama kali ditemukan pada 2019, malware ini menarik perhatian karena menargetkan personel militer India dengan menyamar sebagai berbagai aplikasi kencan dan pesan. Setelah aktivitas awal ini, laporan tentang PJobRAT sempat mereda, namun peneliti dari Sophos X-Ops baru-baru ini menemukan bukti baru tentang kebangkitannya.
Pada 2021, para peneliti mengaitkan PJobRAT dengan kampanye yang menargetkan pengguna bergelar tinggi, termasuk personel militer. Kini, setelah beberapa tahun dengan aktivitas terbatas, malware ini kembali muncul dalam serangan baru yang tampaknya menargetkan pengguna di Taiwan.
Metode Distribusi dan Infeksi
Sophos X-Ops menemukan bahwa sampel terbaru PJobRAT menyamar sebagai aplikasi pesan instan populer. Berdasarkan telemetri mereka, semua korban dari kampanye ini tampaknya berada di Taiwan, meskipun identitas spesifik individu yang terinfeksi tetap tidak jelas. Aplikasi palsu tersebut, yang tersedia untuk diunduh melalui berbagai situs yang dihosting oleh WordPress (sekarang sudah tidak aktif), termasuk ‘SangaalLite’—kemungkinan tiruan dari ‘SignalLite,’ sebuah aplikasi yang digunakan dalam kampanye sebelumnya—dan ‘CChat,’ yang meniru aplikasi chat sah yang sebelumnya ada di Google Play.
Aplikasi-aplikasi tersebut dihosting di beberapa situs WordPress, yang kini telah diturunkan oleh para peneliti. Meskipun malware ini pertama kali terdeteksi pada Januari 2023, domain yang menampungnya terdaftar sejak April 2022, yang menunjukkan bahwa para penyerang telah mempersiapkan kampanye ini untuk waktu yang cukup lama. Sampel terbaru ditemukan pada Oktober 2024, dan sejak saat itu tidak ada aktivitas lebih lanjut yang terdeteksi, sehingga para peneliti percaya kampanye ini telah berakhir atau setidaknya dihentikan.
Kampanye terbaru ini berlangsung setidaknya selama 22 bulan, mungkin hingga dua setengah tahun. Meskipun periode aktivitas ini cukup lama, jumlah infeksi relatif kecil, dan kampanye ini tampaknya menargetkan kelompok tertentu, bukan publik secara umum. Pendekatan yang terarah ini menunjukkan bahwa aktor ancaman di balik PJobRAT mungkin memiliki agenda yang terfokus, bukan sekadar mencoba menginfeksi sebanyak mungkin pengguna.
Dampak dan Implikasi Keamanan
Meskipun kampanye terbaru ini tampaknya telah berakhir, kemunculan kembali PJobRAT mengingatkan kita akan ancaman yang terus berkembang dari malware mobile. Kemampuan malware untuk menyamar sebagai aplikasi sah dan penggunaan platform pesan populer sebagai metode distribusinya menjadikannya ancaman signifikan bagi pengguna, terutama di wilayah yang secara aktif menjadi sasaran kampanye ini.
Penggunaan terus-menerus aplikasi chat oleh PJobRAT sebagai metode distribusi menunjukkan bahwa para penyerang beradaptasi dengan perubahan lanskap keamanan aplikasi mobile. Aplikasi-aplikasi ini, yang dipercaya oleh jutaan pengguna di seluruh dunia, menjadi target utama bagi para penjahat siber yang berusaha mendapatkan akses ke data pribadi yang sensitif. Oleh karena itu, pengguna harus tetap waspada saat mengunduh aplikasi dari sumber yang tidak resmi, meskipun aplikasi tersebut terlihat sah.
Kesimpulan
Kembalinya PJobRAT menegaskan ketahanan malware mobile dan upaya berkelanjutan oleh para penjahat siber untuk mengembangkan taktik mereka. Meskipun kampanye khusus ini mungkin telah berakhir, ancaman mendasar yang ditimbulkan oleh PJobRAT tetap ada, dan pengguna harus mengambil langkah-langkah pencegahan untuk melindungi perangkat mereka dari serangan serupa di masa depan. Temuan dari Sophos X-Ops menyoroti pentingnya kesadaran keamanan dan pertahanan proaktif terhadap ancaman mobile yang terus berubah. Sifat ancaman ini yang berkelanjutan memerlukan kewaspadaan terus-menerus, terutama ketika mengunduh aplikasi dari sumber yang tidak resmi atau tidak terpercaya.
Apakah Anda sudah mempertimbangkan Sophos sebagai solusi perlindungan titik akhir dengan peringkat terbaik dan ulasan terbanyak?
Jika Anda berminat, kami mengundang Anda untuk menghubungi Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan unggulan ini. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia dan sophos.ilogoindonesia.id jika Anda ingin penjelasan lebih mendalam.
