Киберпреступники используют новый шпионский софт SandStrike в атаках на владельцев Android-устройств. Вредонос доставляется на девайсы пользователей с помощью злонамеренных VPN-приложений.
Кампания нацелена на граждан стран, власти которых блокируют веб-контент по религиозным или любым другим мотивам. Именно поэтому людям предлагают VPN как средство обхода контентной фильтрации.
Ссылки на вредоносный VPN пользователям выдают через специальный канал в Telegram. Специалисты «Лаборатории Касперского» в своём отчёте описывают киберугрозу следующим образом:
«Операторы SandStrike обманом заставляют пользователей устанавливать шпионский софт. Для этого злоумышленники создают аккаунты на площадках Facebook and Instagram (признаны экстремистскими и запрещены в России), предлагающие материалы религиозного характера. Как правило, число подписчиков у таких аккаунтов превышает 1000».
«Именно эти учётные записи используются для распространение ссылки на Telegram-канал, которым управляют те же киберпреступники».
Стоит отметить, что вредоносный VPN всё же обеспечивает заявленную функциональность и даже использует собственную VPN-инфраструктуру. Однако вместе с полезной нагрузкой приложение подсовывает пользователю шпион SandStrike, задача которого — собрать персональные данные жертвы и передать их операторам.
Вредоноса интересуют история вызовов, список контактов, а также активность владельца мобильного устройства. Всё это передаётся для анализа киберпреступникам.