SandStrike

Er is waargenomen dat een nieuwe spywarebedreiging wordt ingezet bij aanvalsoperaties die zijn gericht op Android-gebruikers. De malware wordt gevolgd als SandStrike en de belangrijkste leveringsmethode lijkt een beschadigde VPN-toepassing te zijn die wordt geadverteerd als een eenvoudige, maar handige manier om censuur in bepaalde regio's van de wereld te vermijden. Meer specifiek richten de dreigingsactoren zich op Perzisch sprekende Android-gebruikers uit de Bahá'í-minderheid. Details over de dreiging en de aanvalscampagne zijn gepubliceerd in een rapport dat is gepubliceerd door cybersecurity-onderzoekers.

De cybercriminelen creëerden speciale Facebook- en Instagram-accounts met goed gemaakt religieus grafisch materiaal om als lokmiddel te fungeren. Deze sociale media-accounts bevatten een link naar een Telegram-account dat ook door de hackers is aangemaakt. Hier zouden de nietsvermoedende slachtoffers de VPN-applicatie te zien krijgen die de SandStrike-malware bevat. Om de effectiviteit van de applicatie te vergroten en echte functionaliteit te geven, zetten de aanvallers hun eigen VPN-infrastructuur op.

Zodra SandStrike is geïmplementeerd op het apparaat van het slachtoffer, begint het met het verzamelen van gevoelige informatie voordat het wordt geëxfiltreerd naar een server onder controle van de hacker. De verzamelde informatie omvat de oproeplogboeken van de gebruiker, lijsten met contactpersonen en meer. De dreiging stelt de aanvallers ook in staat om de activiteiten te monitoren die op het gehackte apparaat worden uitgevoerd.