SandStrike

En ny spywaretrussel er blevet observeret at blive implementeret i angrebsoperationer rettet mod Android-brugere. Malwaren bliver sporet som SandStrike, og dens vigtigste leveringsmetode ser ud til at være en beskadiget VPN-applikation, der bliver annonceret som en enkel, men praktisk måde at undgå censur i visse regioner i verden. Mere specifikt retter trusselsaktørerne sig mod persisktalende Android-brugere fra bahá'í-minoriteten. Detaljer om truslen og angrebskampagnen blev offentliggjort i en rapport udgivet af cybersikkerhedsforskere.

De cyberkriminelle oprettede dedikerede Facebook- og Instagram-konti indeholdende veludviklede religiøse grafiske materialer for at fungere som lokkemiddel. Disse sociale mediekonti indeholder et link til en Telegram-konto, som også er oprettet af hackerne. Her ville de intetanende ofre blive præsenteret for VPN-applikationen med SandStrike-malwaren. For at øge effektiviteten af applikationen og give den reel funktionalitet, opsatte angriberne deres egen VPN-infrastruktur.

Når SandStrike er installeret på ofrets enhed, vil den begynde at høste følsom information, før den eksfiltreres til en server under hackerens kontrol. De indsamlede oplysninger omfatter brugerens opkaldslogger, kontaktlister og mere. Truslen giver også angriberne mulighed for at overvåge de aktiviteter, der udføres på den brudte enhed.