Novo spyware SandStrike infecta dispositivos Android

Novo spyware SandStrike infecta dispositivos Android através de aplicativo VPN malicioso.

Os agentes de ameaças estão usando um spyware recém-descoberto conhecido como SandStrike e entregue por meio de um aplicativo VPN malicioso para atingir usuários do Android.

Eles se concentram em praticantes de língua persa da Fé Bahá’í, uma religião desenvolvida no Irã e partes do Oriente Médio.

Os invasores estão promovendo o aplicativo VPN malicioso como uma maneira simples de contornar a censura de materiais religiosos em determinadas regiões.

Para divulgá-lo, eles usam contas de mídia social para redirecionar vítimas em potencial para um canal do Telegram que forneceria links para baixar e instalar a VPN armadilhada.

Para atrair as vítimas para o download de implantes de spyware, os adversários do SandStrike criaram contas no Facebook e Instagram com mais de 1.000 seguidores e criaram materiais atraentes com temas religiosos, criando uma armadilha eficaz para os adeptos dessa crença”,  disse Kaspersky .

A maioria dessas contas de mídia social contém um link para um canal do Telegram também criado pelo invasor”.

Embora o aplicativo seja totalmente funcional e até use sua própria infraestrutura VPN, o cliente VPN também instala o spyware SandStrike, que vasculha seus dispositivos em busca de dados confidenciais e os exfiltra para os servidores de suas operadoras.

Esse malware roubará vários tipos de informações, como registros de chamadas e listas de contatos, e também monitorará dispositivos Android comprometidos para ajudar seus criadores a acompanhar a atividade das vítimas.

Recapitulação de atividades maliciosas no Oriente Médio

Os pesquisadores de segurança que detectaram o malware em estado selvagem ainda não fixaram seu desenvolvimento em um grupo de ameaças específico.

Na terça-feira, a Kaspersky também publicou seu relatório de tendências de APT para o terceiro trimestre de 2022, destacando descobertas mais interessantes relacionadas a  atividades maliciosas no Oriente Médio .

A empresa destaca um novo backdoor do IIS conhecido como FramedGolf implantado em ataques direcionados a servidores Exchange não corrigidos contra falhas de segurança do tipo ProxyLogon.

O malware foi usado para comprometer pelo menos uma dúzia de organizações, a partir de abril de 2021, o mais tardar, com a maioria ainda comprometida no final de junho de 2022”, revelou Kaspersky.

Em setembro, a empresa também compartilhou análises de uma plataforma de malware recém-descoberta chamada  Metatron  , usada contra empresas de telecomunicações, provedores de serviços de Internet e universidades na África e no Oriente Médio.

A Kaspersky diz que o Metatron “é um implante modular baseado em um script do Microsoft Console Debugger” que vem com “vários modos de transporte e oferece recursos de encaminhamento e batida de porta“.

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 1871 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Novo spyware SandStrike infecta dispositivos Android – Neotel Segurança Digital

Deixe sua opinião!