Los seguidores de una religión pequeña y relativamente nueva que se está desarrollando en Irán y partes de Oriente Medio están siendo atacados por spyware entregado a través de una VPN maliciosa. (se abre en una pestaña nueva) servicio, según nuevos hallazgos de Kaspersky.
En su informe, la compañía dice que los practicantes de Baháʼí Faith están siendo atacados con el software espía SandStrike, que se envía a sus puntos finales a través de un servicio VPN malicioso y sin nombre.
Quienquiera que esté detrás del ataque ha creado varias páginas y grupos de Facebook, cuentas de Instagram y un canal de Telegram que afirman promover las enseñanzas de la Fe baháʼí para atraer a la mayor cantidad de creyentes (y otras personas curiosas) para que se unan. Sin embargo, las cuentas se usan para promocionar el servicio VPN, con el pretexto de que se puede usar para eludir la censura de materiales religiosos en ciertas regiones.
VPN legítima
Los enlaces de descarga se distribuyen a través de Telegram, donde sus grupos tienen más de 1000 seguidores, dice Kaspersky.
La aplicación VPN que se anuncia es funcional y funciona según lo previsto, según descubrieron los investigadores. También dijeron que incluso tiene su propia infraestructura VPN, pero al instalar el cliente también se instala el software espía SandStrike, que extrae información confidencial o de identificación personal. (se abre en una pestaña nueva)a los atacantes.
Los datos que recopila SandStrike incluyen registros de llamadas y listas de contactos, pero también monitoreará el dispositivo en su totalidad, para realizar un mejor seguimiento del comportamiento de la víctima.
El software espía de Android es una amenaza común, pero los atacantes generalmente buscan datos de pago, billeteras de criptomonedas y similares. De hecho, a fines de septiembre de 2022 se detectó una versión actualizada del software espía Banker para Android. Este software espía roba los datos bancarios de la víctima y posiblemente incluso dinero en algunos casos.
Según los investigadores de ciberseguridad de Microsoft, un actor de amenazas desconocido ha iniciado una campaña de smishing (phishing por SMS), a través de la cual intenta engañar a las personas para que descarguen TrojanSpy:AndroidOS/Banker.O. Esta es una variante de malware que es capaz de extraer todo tipo de información confidencial, incluidos los códigos de autenticación de dos factores (2FA), los detalles de inicio de sesión de la cuenta y otra información de identificación personal (PII).
Vía: BleepingComputer (se abre en una pestaña nueva)