概述 伪装方式 样本分析 同源分析 窃取的数据分析 总结 IOC 参考链接 概述 近期，360烽火实验室发现一起主要针对印度军事相关目标的攻击活动，本次攻击活动使用了一种新的Android恶意软件，根据恶意软件包结构我们将其命名为PJobRAT。 PJobRAT主要伪装成印度婚恋交友和即时通讯软件。通过对同源样本进行分析，我们推测本次攻击时间从2021年1月开始，该RAT家族或最早出现于2019年12底，本次攻击活动主要针对具有军事相关背景的印度人员。 伪装方式 PJobRAT伪装成最新版的印度约会和婚姻应用软件Trendbanter，据第三方应用市场介绍Trendbanter是首屈一指的印度约会和婚姻应用程序，汇集了居住在美国、英国、加拿大、澳大利亚和世界各地的数千名印度单身人士。 图1 Trendbanter软件介绍 另外，还特别发现了一点，PJobRAT在桌面和应用列表中，展示的图标不同。在桌面上伪装成Whatsapp图标，而在应用安装列表上才展示为Trendbanter的图标，从而达到更好的隐藏效果。 图2 PJobRAT在桌面和应用列表中展示的不同图标 样本分析 功能分析 分析发现PJobRAT会对手机中指定后缀的文档进行上传，这些文档类型包括pdf、doc、docx、xls、xlsx、ppt和pptx。 图3 判断文档类型代码片段 PJobRAT还能够通过Android辅助功能获取窗口节点信息，进一步获取Whatsapp联系人列表和对话消息等隐私数据。 图4 窃取Whatsapp消息内容代码片段 PJobRAT其他恶意功能还包括： 上传通讯录 上传短信 上传音频文件 上传视频文件 上传图片文件 上传已安装应用列表 上传外部存储文件列表 上传WIFI、地理位置等信息 更新电话号码 录音 通信方式 PJobRAT主要包含Firebase Cloud Message（...