Một chiến dịch phần mềm gián điệp Android không có giấy tờ trước đây đã được phát hiện đã tấn công các cá nhân nói tiếng Ba Tư bằng cách giả dạng một ứng dụng VPN dường như vô hại.
Công ty an ninh mạng Kaspersky của Nga đang theo dõi chiến dịch dưới biệt danh SandStrike. Nó không được quy cho bất kỳ nhóm mối đe dọa cụ thể nào.
“SandStrike được phân phối như một phương tiện để truy cập các tài nguyên về tôn giáo Bahá'í bị cấm ở Iran”, công ty lưu ý trong báo cáo xu hướng APT cho quý 3 năm 2022.
Mặc dù bề ngoài ứng dụng được thiết kế để cung cấp cho nạn nhân kết nối VPN để vượt qua lệnh cấm, nhưng nó cũng được định cấu hình để bí mật hút dữ liệu từ thiết bị của nạn nhân, chẳng hạn như nhật ký cuộc gọi, danh bạ và thậm chí kết nối với máy chủ từ xa để tìm nạp các lệnh bổ sung.
Dịch vụ VPN bị mắc kẹt, mặc dù đầy đủ chức năng, được cho là được phân phối qua kênh Telegram do đối thủ kiểm soát.
Các liên kết đến kênh cũng được quảng cáo trên các tài khoản mạng xã hội bịa đặt được thiết lập trên Facebook và Instagram với mục đích thu hút các nạn nhân tiềm năng tải xuống ứng dụng.
Theo một báo cáo của Tổ chức Ân xá Quốc tế được công bố vào tháng 8 năm 2022, Bộ Tình báo Iran đã bắt giữ ít nhất 30 thành viên của cộng đồng ở nhiều vùng khác nhau của đất nước kể từ ngày 31 tháng 7 năm 2022.
Nhóm thiểu số tôn giáo này đã bị chính quyền Iran đàn áp, cáo buộc họ là gián điệp có liên hệ với Israel, dẫn đến “các cuộc đột kích, bắt giữ tùy tiện, phá nhà và chiếm đất.”
Nhà nghiên cứu bảo mật Victor Chebyshev của Kaspersky cho biết: “Các tác nhân APT hiện đang được sử dụng nhiều để tạo ra các công cụ tấn công và cải tiến các công cụ cũ để khởi động các chiến dịch độc hại mới”.
“Trong các cuộc tấn công, họ sử dụng các phương pháp xảo quyệt và bất ngờ. Ngày nay, việc phát tán phần mềm độc hại qua mạng xã hội rất dễ dàng và không bị phát hiện trong vài tháng hoặc thậm chí hơn.”
