SandStrike

Se ha observado que se implementa una nueva amenaza de software espía en operaciones de ataque dirigidas a usuarios de Android. El malware se rastrea como SandStrike y su principal método de entrega parece ser una aplicación VPN corrupta que se anuncia como una forma simple pero conveniente de evitar la censura en ciertas regiones del mundo. Más específicamente, los actores de amenazas se dirigen a los usuarios de Android de habla persa de la minoría baháʼí. Los detalles sobre la amenaza y la campaña de ataque se dieron a conocer en un informe publicado por investigadores de ciberseguridad.

Los ciberdelincuentes crearon cuentas de Facebook e Instagram dedicadas que contenían materiales gráficos religiosos bien elaborados, para actuar como señuelo. Estas cuentas de redes sociales contienen un enlace a una cuenta de Telegram también creada por los piratas informáticos. Aquí, a las víctimas desprevenidas se les presentaría la aplicación VPN que contiene el malware SandStrike. Para aumentar la eficacia de la aplicación y darle una funcionalidad real, los atacantes configuran su propia infraestructura VPN.

Una vez que SandStrike se implementa en el dispositivo de la víctima, comenzará a recopilar información confidencial antes de filtrarla a un servidor bajo el control del pirata informático. La información recopilada incluye registros de llamadas del usuario, listas de contactos y más. La amenaza también permite a los atacantes monitorear las actividades realizadas en el dispositivo violado.