SandStrike

È stato osservato che una nuova minaccia spyware viene implementata nelle operazioni di attacco rivolte agli utenti Android. Il malware viene tracciato come SandStrike e il suo metodo di consegna principale sembra essere un'applicazione VPN danneggiata che viene pubblicizzata come un modo semplice ma conveniente per evitare la censura in alcune regioni del mondo. Più specificamente, gli attori delle minacce prendono di mira gli utenti Android di lingua persiana della minoranza baháʼí. I dettagli sulla minaccia e sulla campagna di attacco sono stati rilasciati in un rapporto pubblicato dai ricercatori di sicurezza informatica.

I criminali informatici hanno creato account Facebook e Instagram dedicati contenenti materiali grafici religiosi ben realizzati, per fungere da esca. Questi account di social media contengono un collegamento a un account Telegram creato anche dagli hacker. Qui, alle vittime ignare verrebbe presentata l'applicazione VPN che trasporta il malware SandStrike. Per aumentare l'efficacia dell'applicazione e darle funzionalità reali, gli aggressori hanno creato la propria infrastruttura VPN.

Una volta che SandStrike viene distribuito sul dispositivo della vittima, inizierà a raccogliere informazioni sensibili prima di esfiltrarle su un server sotto il controllo dell'hacker. Le informazioni raccolte includono i registri delle chiamate dell'utente, gli elenchi dei contatti e altro ancora. La minaccia consente inoltre agli aggressori di monitorare le attività svolte sul dispositivo violato.