SandStrike

Observou-se que uma nova ameaça de spyware foi implantada em operações de ataque direcionados aos usuários do Android. O malware está sendo rastreado como SandStrike e seu principal método de entrega parece ser um aplicativo VPN corrompido que está sendo anunciado como uma maneira simples, mas conveniente, de evitar a censura em determinadas regiões do mundo. Mais especificamente, os agentes de ameaças têm como alvo usuários de Android de língua persa da minoria bahá'í. Detalhes sobre a ameaça e a campanha de ataque foram divulgados em um relatório publicado por pesquisadores de segurança cibernética.

Os cibercriminosos criaram contas dedicadas no Facebook e Instagram contendo materiais gráficos religiosos bem elaborados, para servir de isca. Essas contas de mídia social contêm um link para uma conta do Telegram também criada pelos hackers. Aqui, as vítimas desavisadas seriam apresentadas ao aplicativo VPN que carrega o malware SandStrike. Para aumentar a eficácia do aplicativo e fornecer funcionalidade real, os invasores configuraram sua própria infraestrutura de VPN.

Depois que o SandStrike for implantado no dispositivo da vítima, ele começará a coletar informações confidenciais antes de exfiltrar para um servidor sob o controle do hacker. As informações coletadas incluem os registros de chamadas do usuário, listas de contatos e muito mais. A ameaça também permite que os invasores monitorem as atividades realizadas no dispositivo violado.