Cibercriminosos estão usando um novo spyware conhecido como SandStrike e entregue por meio de um aplicativo VPN malicioso para atingir usuários do Android.
Esse novo spyware se concentra em praticantes de língua persa da Fé Bahá’í, uma religião desenvolvida no Irã e partes do Oriente Médio. Inclusive, os invasores estão promovendo o aplicativo VPN malicioso como uma maneira simples de contornar a censura de materiais religiosos em determinadas regiões.
Spyware SandStrike entregue por VPN a dispositivos Android
Para divulgar o novo spyware, os cibercriminosos usam contas de mídia social para redirecionar vítimas em potencial para um canal do Telegram que forneceria links para baixar e instalar a VPN armadilhada.
De acordo com a Kaspersky, “Para atrair as vítimas para o download de implantes de spyware, os adversários do SandStrike criaram contas no Facebook e Instagram com mais de 1.000 seguidores e criaram materiais atraentes com temas religiosos, criando uma armadilha eficaz para os adeptos dessa crença”.
Ainda de acordo com a empresa, “A maioria dessas contas de mídia social contém um link para um canal do Telegram também criado pelo invasor”. Embora o aplicativo seja totalmente funcional e até use sua própria infraestrutura VPN, o cliente VPN também instala o spyware SandStrike, que vasculha seus dispositivos em busca de dados confidenciais e os exfiltra para os servidores de suas operadoras.
Ações do malware
Esse malware roubará vários tipos de informações, como registros de chamadas e listas de contatos, e também monitorará dispositivos Android comprometidos para ajudar seus criadores a acompanhar a atividade das vítimas.
Os pesquisadores de segurança que detectaram esse malware em estado selvagem ainda não fixaram seu desenvolvimento em um grupo de ameaças específico.
Na terça-feira, a Kaspersky também publicou seu relatório de tendências de APT para o terceiro trimestre de 2022, destacando descobertas mais interessantes relacionadas a atividades maliciosas no Oriente Médio.
A empresa destaca um novo backdoor do IIS conhecido como FramedGolf implantado em ataques direcionados a servidores Exchange não corrigidos contra falhas de segurança do tipo ProxyLogon.
“O malware foi usado para comprometer pelo menos uma dúzia de organizações, a partir de abril de 2021, o mais tardar, com a maioria ainda comprometida no final de junho de 2022”, revelou Kaspersky.
Em setembro, a empresa também compartilhou análises de uma plataforma de malware recém-descoberta chamada Metatron, usada contra empresas de telecomunicações, provedores de serviços de Internet e universidades na África e no Oriente Médio. A Kaspersky diz que o Metatron “é um implante modular baseado em um script do Microsoft Console Debugger” que vem com “vários modos de transporte e oferece recursos de encaminhamento e batida de porta”.