Il malware PJobRAT è stato recentemente associato a una nuova campagna che prende di mira gli utenti taiwanesi attraverso app di chat false. Questo malware, noto per colpire personale militare indiano, è in grado di rubare messaggi SMS, contatti telefonici, informazioni sui dispositivi e sulle app, documenti e file multimediali da dispositivi Android infetti. Le versioni precedenti di PJobRAT sono state documentate per la prima volta nel 2021 e sono state utilizzate per attacchi mirati a obiettivi legati al settore militare indiano. Gli attacchi recenti hanno sfruttato app di chat dannose, come SangaalLite e CChat, disponibili su siti WordPress, per avviare la sequenza di infezione.

Il malware è stato scoperto da Sophos, che ha identificato che il malware ha operato per quasi due anni, fino a ottobre 2024. Il numero di infezioni è stato relativamente piccolo, indicando la natura mirata dell'attività. I nomi dei pacchetti delle app Android coinvolte includono: org.complexy.hard, com.happyho.app, sa.aangal.lite, e net.over.simple. PJobRAT è noto per raccogliere metadati del dispositivo, elenchi di contatti, messaggi di testo, registri delle chiamate, informazioni sulla posizione e file multimediali presenti sul dispositivo o su archiviazioni esterne collegate. Inoltre, sfrutta i permessi dei servizi di accessibilità per raccogliere contenuti dallo schermo del dispositivo. Contrariamente alle versioni precedenti che rubavano messaggi WhatsApp, la versione più recente di PJobRAT ha introdotto la capacità di eseguire comandi shell, consentendo potenzialmente agli attaccanti di accedere alle chat di WhatsApp e di esercitare un maggiore controllo sui telefoni infetti.

La campagna più recente ha preso di mira specificamente utenti taiwanesi, e le app maligne sono state distribuite attraverso diversi siti WordPress, con i primi artefatti che risalgono a gennaio 2023. È attualmente sconosciuto come le vittime siano state ingannate a visitare questi siti, ma si sospetta la presenza di elementi di ingegneria sociale. Una volta installate, le app richiedono permessi invasivi che permettono loro di raccogliere dati e operare senza interruzioni in background. Esiste anche un meccanismo di comando e controllo (C2), che utilizza HTTP per caricare dati delle vittime e Firebase Cloud Messaging (FCM) per inviare comandi shell e esfiltrare informazioni.

Questa campagna, sebbene possa essere terminata, rappresenta un esempio di come gli attori delle minacce spesso riprogrammano e ritargettano i loro attacchi dopo una campagna iniziale, apportando miglioramenti al loro malware e adattando il loro approccio prima di colpire di nuovo.