Spyware SandStrike Menginfeksi Perangkat Android Melalui Aplikasi VPN Berbahaya
illustrasi
Cyberthreat.id – Peneliti keamanan dari Kaspersky mengungkapkan bahwa pelaku ancaman menggunakan spyware yang baru ditemukan yang dikenal sebagai SandStrike dan dikirimkan melalui aplikasi VPN berbahaya untuk menargetkan pengguna Android.
Dikutip dari Bleeping Computer, pelaku ancaman ini berfokus pada praktisi Baháʼí Faith yang berbahasa Persia, sebuah agama yang berkembang di Iran dan sebagian Timur Tengah. Di mana, para penyerang mempromosikan aplikasi VPN berbahaya sebagai cara sederhana untuk menghindari penyensoran materi keagamaan di wilayah tertentu.
Untuk menyebarkannya, mereka menggunakan akun media sosial untuk mengarahkan calon korban ke saluran Telegram yang akan memberi mereka tautan untuk mengunduh dan menginstal VPN jebakan.
“Untuk memikat korban agar mengunduh implan spyware, musuh SandStrike membuat akun Facebook dan Instagram dengan lebih dari 1.000 pengikut dan merancang materi bertema agama yang menarik, menyiapkan jebakan yang efektif bagi penganut keyakinan ini,” kata peneliti Kaspersky.
Meskipun aplikasi ini berfungsi penuh dan bahkan menggunakan infrastruktur VPN-nya sendiri, klien VPN juga memasang spyware SandStrike, yang menjelajahi perangkat mereka untuk mencari data sensitif dan memindahkannya ke server operatornya.
Malware ini akan mencuri berbagai jenis informasi seperti log panggilan dan daftar kontak dan juga akan memantau perangkat Android yang disusupi untuk membantu pembuatnya melacak aktivitas korban.
“Para eneliti keamanan yang melihat malware di alam liar belum menyematkan perkembangannya pada kelompok ancaman tertentu,” kata peneliti Kaspersky.
Pada hari Selasa, Kaspersky juga menerbitkan laporan tren APT untuk Q3 2022, menyoroti lebih banyak penemuan menarik terkait dengan aktivitas jahat di Timur Tengah. Perusahaan menyoroti backdoor IIS baru yang dikenal sebagai FramedGolf yang digunakan dalam serangan yang menargetkan server Exchange yang tidak ditambal terhadap kelemahan keamanan tipe ProxyLogon.
Malware tersebut telah digunakan untuk mengkompromikan setidaknya selusin organisasi, paling lambat mulai April 2021, dengan sebagian besar masih dikompromikan pada akhir Juni 2022, ungkap Kaspersky.
Pada bulan September, perusahaan juga berbagi analisis pada platform malware yang baru ditemukan bernama Metatron yang digunakan terhadap perusahaan telekomunikasi, penyedia layanan internet, dan universitas di seluruh Afrika dan Timur Tengah. Metatron adalah oot-strapped implan modular melalui skrip Debugger Konsol Microsoft" yang hadir dengan beberapa mode transportasi dan menawarkan fitur penerusan dan port knocking.
