SandStrike

Bylo pozorováno nasazení nové spywarové hrozby při útočných operacích zaměřených na uživatele Androidu. Malware je sledován jako SandStrike a jeho hlavním způsobem doručení se zdá být poškozená aplikace VPN, která je inzerována jako jednoduchý, ale pohodlný způsob, jak se vyhnout cenzuře v určitých oblastech světa. Konkrétněji se aktéři hrozeb zaměřují na persky mluvící uživatele Androidu z Baháʼí menšiny. Podrobnosti o hrozbě a útočné kampani byly zveřejněny ve zprávě zveřejněné výzkumníky kybernetické bezpečnosti.

Kyberzločinci vytvořili vyhrazené účty na Facebooku a Instagramu obsahující dobře zpracované náboženské grafické materiály, aby fungovaly jako návnada. Tyto účty sociálních médií obsahují odkaz na účet Telegram, který také vytvořili hackeři. Zde by nic netušícím obětem byla předložena aplikace VPN nesoucí malware SandStrike. Aby útočníci zvýšili efektivitu aplikace a poskytli jí skutečnou funkčnost, vytvořili vlastní infrastrukturu VPN.

Jakmile je SandStrike nasazen na zařízení oběti, začne shromažďovat citlivé informace, než je exfiltruje na server pod kontrolou hackera. Shromážděné informace zahrnují protokoly hovorů uživatele, seznamy kontaktů a další. Hrozba také umožňuje útočníkům sledovat aktivity prováděné na napadeném zařízení.