0
0
Novo spyware SandStrike infecta dispositivos Android através de aplicativo VPN malicioso.
Os agentes de ameaças estão usando um spyware recém-descoberto conhecido como SandStrike e entregue por meio de um aplicativo VPN malicioso para atingir usuários do Android.
Eles se concentram em praticantes de língua persa da Fé Bahá’í, uma religião desenvolvida no Irã e partes do Oriente Médio.
Os invasores estão promovendo o aplicativo VPN malicioso como uma maneira simples de contornar a censura de materiais religiosos em determinadas regiões.
Para divulgá-lo, eles usam contas de mídia social para redirecionar vítimas em potencial para um canal do Telegram que forneceria links para baixar e instalar a VPN armadilhada.
“Para atrair as vítimas para o download de implantes de spyware, os adversários do SandStrike criaram contas no Facebook e Instagram com mais de 1.000 seguidores e criaram materiais atraentes com temas religiosos, criando uma armadilha eficaz para os adeptos dessa crença”, disse Kaspersky .
“A maioria dessas contas de mídia social contém um link para um canal do Telegram também criado pelo invasor”.
Embora o aplicativo seja totalmente funcional e até use sua própria infraestrutura VPN, o cliente VPN também instala o spyware SandStrike, que vasculha seus dispositivos em busca de dados confidenciais e os exfiltra para os servidores de suas operadoras.
Esse malware roubará vários tipos de informações, como registros de chamadas e listas de contatos, e também monitorará dispositivos Android comprometidos para ajudar seus criadores a acompanhar a atividade das vítimas.
Recapitulação de atividades maliciosas no Oriente Médio
Os pesquisadores de segurança que detectaram o malware em estado selvagem ainda não fixaram seu desenvolvimento em um grupo de ameaças específico.
Na terça-feira, a Kaspersky também publicou seu relatório de tendências de APT para o terceiro trimestre de 2022, destacando descobertas mais interessantes relacionadas a atividades maliciosas no Oriente Médio .
A empresa destaca um novo backdoor do IIS conhecido como FramedGolf implantado em ataques direcionados a servidores Exchange não corrigidos contra falhas de segurança do tipo ProxyLogon.
“O malware foi usado para comprometer pelo menos uma dúzia de organizações, a partir de abril de 2021, o mais tardar, com a maioria ainda comprometida no final de junho de 2022”, revelou Kaspersky.
Em setembro, a empresa também compartilhou análises de uma plataforma de malware recém-descoberta chamada Metatron , usada contra empresas de telecomunicações, provedores de serviços de Internet e universidades na África e no Oriente Médio.
A Kaspersky diz que o Metatron “é um implante modular baseado em um script do Microsoft Console Debugger” que vem com “vários modos de transporte e oferece recursos de encaminhamento e batida de porta“.
FONTE: MINUTO DA SEGURANCA