SandStrike

Ett nytt spionprogram hot har observerats vara utplacerat i attackoperationer riktade mot Android-användare. Skadlig programvara spåras som SandStrike och dess huvudsakliga leveransmetod verkar vara en skadad VPN-applikation som annonseras som ett enkelt men bekvämt sätt att undvika censur i vissa regioner i världen. Mer specifikt riktar hotaktörerna sig på persisktalande Android-användare från bahá'í-minoriteten. Detaljer om hotet och attackkampanjen släpptes i en rapport publicerad av cybersäkerhetsforskare.

De cyberbrottslingar skapade dedikerade Facebook- och Instagram-konton innehållande välarbetat religiöst grafiskt material, för att fungera som ett lockbete. Dessa sociala mediekonton innehåller en länk till ett Telegram-konto som också skapats av hackarna. Här skulle de intet ont anande offren presenteras med VPN-applikationen som bär SandStrike malware. För att öka effektiviteten hos applikationen och ge den verklig funktionalitet satte angriparna upp sin egen VPN-infrastruktur.

När SandStrike väl har installerats på offrets enhet kommer den att börja samla in känslig information innan den exfiltreras till en server under hackarens kontroll. Den insamlade informationen inkluderar användarens samtalsloggar, kontaktlistor med mera. Hotet gör det också möjligt för angriparna att övervaka de aktiviteter som utförs på den intrångade enheten.