SandStrike

S'ha observat que es desplega una nova amenaça de programari espia en operacions d'atac dirigides als usuaris d'Android. El programari maliciós es fa un seguiment com a SandStrike i el seu principal mètode de lliurament sembla ser una aplicació VPN corrupta que s'anuncia com una forma senzilla però còmoda d'evitar la censura en determinades regions del món. Més concretament, els actors de l'amenaça s'apunten als usuaris d'Android de parla persa de la minoria bahá'í. Els detalls sobre l'amenaça i la campanya d'atac es van publicar en un informe publicat per investigadors de ciberseguretat.

Els ciberdelinqüents van crear comptes de Facebook i Instagram dedicats que contenien materials gràfics religiosos ben elaborats, per actuar com un esquer. Aquests comptes de xarxes socials contenen un enllaç a un compte de Telegram també creat pels pirates informàtics. Aquí, les víctimes desprevingudes es presentaran amb l'aplicació VPN que porta el programari maliciós SandStrike. Per augmentar l'eficàcia de l'aplicació i donar-li una funcionalitat real, els atacants configuren la seva pròpia infraestructura VPN.

Una vegada que SandStrike s'hagi desplegat al dispositiu de la víctima, començarà a recollir informació sensible abans d'exfiltrar-la a un servidor sota el control del pirata informàtic. La informació recollida inclou els registres de trucades de l'usuari, les llistes de contactes i molt més. L'amenaça també permet als atacants controlar les activitats realitzades al dispositiu trencat.