Uma nova campanha do malware PJobRAT, anteriormente usado contra militares indianos, agora foi identificada visando usuários de Taiwan por meio de aplicativos de chat falsos. O malware, detectado desde 2019, pode roubar mensagens SMS, contatos, informações do dispositivo, documentos e arquivos de mídia de dispositivos Android infectados. Segundo a Sophos, os criminosos utilizaram os aplicativos maliciosos SangaalLite e CChat, distribuídos por sites WordPress desde janeiro de 2023.

A campanha foi encerrada ou pausada em outubro de 2024, após quase dois anos em operação, mas teve um número limitado de infecções, sugerindo um ataque altamente direcionado. O PJobRAT já foi associado a um grupo de ameaças ligado ao Paquistão chamado SideCopy, que utiliza engenharia social para enganar vítimas, criando perfis falsos de mulheres para atrair alvos e levá-los a baixar aplicativos infectados. Uma vez instalados, esses apps pedem permissões invasivas e podem rodar silenciosamente em segundo plano.

Diferente das versões anteriores, que conseguiam acessar mensagens do WhatsApp, essa nova variante permite a execução remota de comandos no dispositivo infectado, aumentando o controle dos invasores. Além disso, o malware agora usa um novo mecanismo de comunicação, combinando upload de dados via HTTP e envio de comandos por Firebase Cloud Messaging (FCM). Especialistas alertam que, apesar dessa campanha ter sido interrompida, criminosos frequentemente atualizam e refinam suas técnicas para lançar novos ataques no futuro.