Há um novo spyware atacando aparelhos que usam o sistema do Google, o SandStrike infecta Android através de aplicativo VPN malicioso.
Os agentes de ameaças estão usando um spyware recém-descoberto conhecido como SandStrike e entregue por meio de um aplicativo VPN malicioso para atingir usuários do Android.
Eles se concentram em praticantes de língua persa da Fé Bahá’í, uma religião desenvolvida no Irã e partes do Oriente Médio.
SandStrike infecta Android através de aplicativo VPN malicioso
Os invasores estão promovendo o aplicativo VPN malicioso como uma maneira simples de contornar a censura de materiais religiosos em determinadas regiões.
Para divulgá-lo, eles usam contas de mídia social para redirecionar vítimas em potencial para um canal do Telegram que forneceria links para baixar e instalar a VPN armadilhada.
“Para atrair as vítimas para o download de implantes de spyware, os adversários do SandStrike criaram contas no Facebook e Instagram com mais de 1.000 seguidores e criaram materiais atraentes com temas religiosos, criando uma armadilha eficaz para os adeptos dessa crença.”, disse Kaspersky.
“A maioria dessas contas de mídia social contém um link para um canal do Telegram também criado pelo invasor”.
Embora o aplicativo seja totalmente funcional e até use sua própria infraestrutura VPN, o cliente VPN também instala o spyware SandStrike, que vasculha seus dispositivos em busca de dados confidenciais e os exfiltra para os servidores de suas operadoras.
Esse malware roubará vários tipos de informações, como registros de chamadas e listas de contatos, e também monitorará dispositivos Android comprometidos para ajudar seus criadores a acompanhar a atividade das vítimas.
Os pesquisadores de segurança que detectaram o malware em estado natura e ainda não fixaram seu desenvolvimento em um grupo de ameaças específico.
Na terça-feira, a Kaspersky também publicou seu relatório de tendências de APT para o terceiro trimestre de 2022, destacando descobertas mais interessantes relacionadas a atividades maliciosas no Oriente Médio.
A empresa destaca um novo backdoor do IIS conhecido como FramedGolf implantado em ataques direcionados a servidores Exchange não corrigidos contra falhas de segurança do tipo ProxyLogon.
“O malware foi usado para comprometer pelo menos uma dúzia de organizações, a partir de abril de 2021, o mais tardar, com a maioria ainda comprometida no final de junho de 2022”, revelou Kaspersky.
Em setembro, a empresa também compartilhou análises de uma plataforma de malware recém-descoberta chamada Metatron, usada contra empresas de telecomunicações, provedores de serviços de Internet e universidades na África e no Oriente Médio.
A Kaspersky diz que o Metatron “é um implante modular baseado em um script do Microsoft Console Debugger” que vem com “vários modos de transporte e oferece recursos de encaminhamento e batida de porta”.