Οι χάκερ χρησιμοποιούν μια άγνωστη μέχρι σήμερα μορφή spyware που ονομάζεται SandStrike, η οποία διανέμεται μέσω μιας κακόβουλης εφαρμογής VPN, για να στοχεύσουν χρήστες Android.
Δείτε επίσης: Η Microsoft διορθώνει κρίσιμο ελάττωμα RCE που επηρεάζει το Azure Cosmos DB
Ο ιστότοπος απευθύνεται στους περσόφωνους οπαδούς της Baháʼí Faith, μιας θρησκείας που ξεκίνησε από το Ιράν και άλλα μέρη της Μέσης Ανατολής.
Οι εισβολείς προωθούν την κακόβουλη εφαρμογή VPN ως έναν απλό τρόπο παράκαμψης της λογοκρισίας θρησκευτικού υλικού σε ορισμένες περιοχές.
Οι απατεώνες χρησιμοποιούν τις πλατφόρμες κοινωνικής δικτύωσης για να μοιράζονται συνδέσμους που στέλνουν τα πιθανά θύματα σε ένα κανάλι Telegram. Αυτό το κανάλι παρέχει οδηγίες λήψης και εγκατάστασης για μια “παγιδευμένη” εφαρμογή VPN.
Δείτε επίσης: Hackers κάνουν κατάχρηση λογισμικού ασφαλείας και διανέμουν το LODEINFO malware
Παρόλο που η εφαρμογή είναι πλήρως λειτουργική και χρησιμοποιεί τη δική της υποδομή VPN, ο VPN client εξακολουθεί να εγκαθιστά το SandStrike spyware. Αυτό το λογισμικό αναζητά στη συνέχεια τυχόν ευαίσθητα δεδομένα στη συσκευή τους και τα στέλνει στους servers που διαχειρίζονται οι χάκερ.
Αυτό το malware δεν κλέβει μόνο αρχεία call logs και λίστες επαφών, αλλά παρακολουθεί και τη δραστηριότητα των συσκευών Android για να βοηθήσει τους δημιουργούς του να παρακολουθούν κάθε κίνηση του θύματός τους.
Ανακεφαλαίωση της κακόβουλης δραστηριότητας στη Μέση Ανατολή
Αν και οι ερευνητές έχουν βρει αυτό το κακόβουλο λογισμικό να χρησιμοποιείται από τους χάκερ, δεν είναι σίγουροι ποια συγκεκριμένη απειλητική ομάδα είναι υπεύθυνη για την ανάπτυξή του.
Η Kaspersky δημοσίευσε τα ευρήματά της για τα APT trends στη Μέση Ανατολή για το τρίτο τρίμηνο του 2022 την Τρίτη, αποκαλύπτοντας πιο περίπλοκες λεπτομέρειες σχετικά με την κακόβουλη δραστηριότητα.
Η εταιρεία ανακάλυψε ένα νέο IIS backdoor γνωστό ως FramedGolf, το οποίο οι επιτιθέμενοι χρησιμοποιούν για να στοχεύουν Exchange servers που δεν έχουν επιδιορθώσει τις αδυναμίες ασφαλείας τύπου ProxyLogon.
Δείτε επίσης: Google ad για το GIMP.org διέσπειρε info-stealing malware μέσω παρόμοιου site
Τον Σεπτέμβριο, η εταιρεία μοιράστηκε και ανάλυση σε μια πλατφόρμα malware που βρέθηκε πρόσφατα με την ονομασία Metatron που χρησιμοποιείται ενάντια σε εταιρείες τηλεπικοινωνιών, παρόχους υπηρεσιών Διαδικτύου και πανεπιστήμια σε όλη την Αφρική και τη Μέση Ανατολή. Η Kaspersky αναφέρει ότι το Metatron είναι ένα modular implant που μπορεί να εκκινηθεί μέσω ενός script Microsoft Console Debugger το οποίο διαθέτει πολλαπλούς τρόπους μεταφοράς.
Πηγή πληροφοριών: bleepingcomputer.com
