SandStrike

En ny spionvaretrussel har blitt observert å være utplassert i angrepsoperasjoner rettet mot Android-brukere. Skadevaren spores som SandStrike, og dens viktigste leveringsmetode ser ut til å være en ødelagt VPN-applikasjon som blir annonsert som en enkel, men praktisk måte å unngå sensur i visse regioner i verden. Mer spesifikt er trusselaktørene rettet mot persisktalende Android-brukere fra bahá'í-minoriteten. Detaljer om trusselen og angrepskampanjen ble offentliggjort i en rapport publisert av cybersikkerhetsforskere.

De nettkriminelle opprettet dedikerte Facebook- og Instagram-kontoer som inneholder godt utformet religiøst grafisk materiale, for å fungere som lokkemiddel. Disse sosiale mediekontoene inneholder en lenke til en Telegram-konto også opprettet av hackerne. Her vil de intetanende ofrene bli presentert for VPN-applikasjonen som inneholder SandStrike malware. For å øke effektiviteten til applikasjonen og gi den reell funksjonalitet, satte angriperne opp sin egen VPN-infrastruktur.

Når SandStrike er utplassert på offerets enhet, vil den begynne å samle inn sensitiv informasjon før den eksfiltreres til en server under hackerens kontroll. Den innsamlede informasjonen inkluderer brukerens anropslogger, kontaktlister og mer. Trusselen gjør det også mulig for angriperne å overvåke aktivitetene som utføres på den brutte enheten.