SandStrike

Es wurde beobachtet, dass eine neue Spyware-Bedrohung bei Angriffsoperationen eingesetzt wird, die auf Android-Benutzer abzielen. Die Malware wird als SandStrike verfolgt und ihre Hauptübermittlungsmethode scheint eine beschädigte VPN-Anwendung zu sein, die als einfacher, aber bequemer Weg zur Umgehung der Zensur in bestimmten Regionen der Welt beworben wird. Genauer gesagt zielen die Bedrohungsakteure auf persisch sprechende Android-Nutzer aus der Baháʼí-Minderheit ab. Details über die Bedrohung und die Angriffskampagne wurden in einem von Cybersicherheitsforschern veröffentlichten Bericht veröffentlicht.

Die Cyberkriminellen erstellten spezielle Facebook- und Instagram-Konten mit gut gestalteten religiösen Bildmaterialien, um als Köder zu fungieren. Diese Social-Media-Konten einen Link zu einem Telegram-Konto enthalten, das ebenfalls von den Hackern erstellt wurde. Hier würde den ahnungslosen Opfern die VPN-Anwendung präsentiert, die die SandStrike-Malware enthält. Um die Effektivität der Anwendung zu steigern und ihr echte Funktionalität zu verleihen, richten die Angreifer ihre eigene VPN-Infrastruktur ein.

Sobald SandStrike auf dem Gerät des Opfers installiert ist, beginnt es mit dem Sammeln vertraulicher Informationen, bevor es sie auf einen Server unter der Kontrolle des Hackers exfiltriert. Zu den gesammelten Informationen gehören die Anrufprotokolle, Kontaktlisten des Benutzers und mehr. Die Bedrohung ermöglicht es den Angreifern auch, die Aktivitäten zu überwachen, die auf dem angegriffenen Gerät ausgeführt werden.