Novo spyware SandStrike infecta dispositivos Android

Novo spyware SandStrike infecta dispositivos Android através de aplicativo VPN malicioso.

Os agentes de ameaças estão usando um spyware recém-descoberto conhecido como SandStrike e entregue por meio de um aplicativo VPN malicioso para atingir usuários do Android.

Eles se concentram em praticantes de língua persa da Fé Bahá’í, uma religião desenvolvida no Irã e partes do Oriente Médio.

Os invasores estão promovendo o aplicativo VPN malicioso como uma maneira simples de contornar a censura de materiais religiosos em determinadas regiões.

Para divulgá-lo, eles usam contas de mídia social para redirecionar vítimas em potencial para um canal do Telegram que forneceria links para baixar e instalar a VPN armadilhada.

“Para atrair as vítimas para o download de implantes de spyware, os adversários do SandStrike criaram contas no Facebook e Instagram com mais de 1.000 seguidores e criaram materiais atraentes com temas religiosos, criando uma armadilha eficaz para os adeptos dessa crença”,  disse Kaspersky .

“A maioria dessas contas de mídia social contém um link para um canal do Telegram também criado pelo invasor”.

Embora o aplicativo seja totalmente funcional e até use sua própria infraestrutura VPN, o cliente VPN também instala o spyware SandStrike, que vasculha seus dispositivos em busca de dados confidenciais e os exfiltra para os servidores de suas operadoras.

Esse malware roubará vários tipos de informações, como registros de chamadas e listas de contatos, e também monitorará dispositivos Android comprometidos para ajudar seus criadores a acompanhar a atividade das vítimas.

Recapitulação de atividades maliciosas no Oriente Médio

Os pesquisadores de segurança que detectaram o malware em estado selvagem ainda não fixaram seu desenvolvimento em um grupo de ameaças específico.

Na terça-feira, a Kaspersky também publicou seu relatório de tendências de APT para o terceiro trimestre de 2022, destacando descobertas mais interessantes relacionadas a  atividades maliciosas no Oriente Médio .

A empresa destaca um novo backdoor do IIS conhecido como FramedGolf implantado em ataques direcionados a servidores Exchange não corrigidos contra falhas de segurança do tipo ProxyLogon.

“O malware foi usado para comprometer pelo menos uma dúzia de organizações, a partir de abril de 2021, o mais tardar, com a maioria ainda comprometida no final de junho de 2022”, revelou Kaspersky.

Em setembro, a empresa também compartilhou análises de uma plataforma de malware recém-descoberta chamada  Metatron  , usada contra empresas de telecomunicações, provedores de serviços de Internet e universidades na África e no Oriente Médio.

A Kaspersky diz que o Metatron “é um implante modular baseado em um script do Microsoft Console Debugger” que vem com “vários modos de transporte e oferece recursos de encaminhamento e batida de porta“.

Fonte: BleepingComputer

Veja também:

• 5 formas de proteger os dados das grandes empresas
• Resiliência de Dados ganha espaço nas estratégias de segurança das empresas
• Dropbox hackeado – invasores roubaram 130 repositórios do GitHub
• CISA – Orientação Cibernética para Pequenas Empresas
• A anatomia de um ataque de ransomware
• Cyberflashing: O que é ? é ilegal?
• Bumble disponibiliza ferramenta de detecção de cyberflashing com código aberto
• VMware corrige vulnerabilidade crítica em produto em fim de vida
• Segurança é fator essencial para a maturidade da nuvem, afirma especialista
• Ransomware e medo de invasão, riscos às empresas no Brasil em 2022
• Falta de conhecimento e o buy-in limitado impedem implantações do Zero Trust
• Por que as lojas de varejo estão mais vulneráveis ​​do que nunca ao cibercrime