SandStrike

Une nouvelle menace de logiciel espion a été observée pour être déployée dans des opérations d'attaque ciblant les utilisateurs d'Android. Le logiciel malveillant est suivi sous le nom de SandStrike et sa principale méthode de diffusion semble être une application VPN corrompue qui est annoncée comme un moyen simple mais pratique d'éviter la censure dans certaines régions du monde. Plus précisément, les acteurs de la menace ciblent les utilisateurs d'Android de langue persane appartenant à la minorité bahá'íe. Des détails sur la menace et la campagne d'attaque ont été publiés dans un rapport publié par des chercheurs en cybersécurité.

Les cybercriminels ont créé des comptes Facebook et Instagram dédiés contenant du matériel graphique religieux bien conçu, pour agir comme un leurre. Ces comptes de médias sociaux contiennent un lien vers un compte Telegram également créé par les pirates. Ici, les victimes sans méfiance se verraient présenter l'application VPN contenant le malware SandStrike. Pour booster l'efficacité de l'application et lui donner de réelles fonctionnalités, les attaquants mettent en place leur propre infrastructure VPN.

Une fois que SandStrike est déployé sur l'appareil de la victime, il commencera à récolter des informations sensibles avant de les exfiltrer vers un serveur sous le contrôle du pirate. Les informations collectées incluent les journaux d'appels de l'utilisateur, les listes de contacts et plus encore. La menace permet également aux attaquants de surveiller les activités menées sur l'appareil piraté.