Một chiến dịch phần mềm gián điệp Android không có giấy tờ trước đây đã được tìm thấy tấn công các cá nhân nói tiếng Ba Tư bằng cách giả mạo là một ứng dụng VPN dường như vô hại.
Công ty an ninh mạng Kaspersky của Nga đang theo dõi chiến dịch với biệt danhSandStrike. Nó đã không được quy cho bất kỳ nhóm mối đe dọa cụ thể nào.
"SandStrike được phân phối như một phương tiện để truy cập các tài nguyên về tôn giáo Bahá'í bị cấm ở Iran," công ty lưu ý trong báo cáo xu hướng APT cho quý 3 năm 2022.
Mặc dù ứng dụng bề ngoài được thiết kế để cung cấp cho nạn nhân kết nối VPN để vượt qua lệnh cấm, nhưng nó cũng được cấu hình để bí mật hút dữ liệu từ thiết bị của nạn nhân, chẳng hạn như nhật ký cuộc gọi, danh bạ và thậm chí kết nối với máy chủ từ xa để tìm nạp các lệnh bổ sung.
Dịch vụ VPN bị mắc kẹt, mặc dù đầy đủ chức năng, được cho là được phân phối thông qua một kênh Telegram do kẻ thù kiểm soát.
Liên kết đến kênh cũng được quảng cáo trên các tài khoản mạng xã hội bịa đặt được thiết lập trên Facebook và Instagram với mục đích dụ dỗ các nạn nhân tiềm năng tải xuống ứng dụng.
Theo một báo cáo của Tổ chức Ân xá Quốc tế được công bố vào tháng 8/2022, Bộ Tình báo Iran đã bắt giữ ít nhất 30 thành viên của cộng đồng ở nhiều vùng khác nhau của đất nước kể từ ngày 31/7/2022.
Nhóm thiểu số tôn giáo đã bị chính quyền Iran đàn áp, cáo buộc họ là gián điệp có liên hệ với Israel, dẫn đến "các cuộc đột kích, bắt giữ tùy tiện, phá hủy nhà cửa và chiếm đất".
"Các tác nhân APT hiện đang được sử dụng vất vả để tạo ra các công cụ tấn công và cải thiện các công cụ cũ để khởi động các chiến dịch độc hại mới", nhà nghiên cứu bảo mật Victor Chebyshev của Kaspersky cho biết.
"Trong các cuộc tấn công của họ, họ sử dụng các phương pháp xảo quyệt và bất ngờ. Ngày nay, thật dễ dàng để phân phối phần mềm độc hại qua mạng xã hội và không bị phát hiện trong vài tháng hoặc thậm chí hơn".