Οι φορείς απειλών χρησιμοποιούν λογισμικό υποκλοπής που ανακαλύφθηκε πρόσφατα, γνωστό ως SandStrike και παραδίδεται μέσω μιας κακόβουλης εφαρμογής VPN για να στοχεύουν χρήστες Android.
Επικεντρώνονται σε περσόφωνους ασκούμενους της Μπαχάι Πίστης, μιας θρησκείας που αναπτύχθηκε στο Ιράν και σε μέρη της Μέσης Ανατολής.
Οι εισβολείς προωθούν την κακόβουλη εφαρμογή VPN ως έναν απλό τρόπο παράκαμψης της λογοκρισίας θρησκευτικού υλικού σε ορισμένες περιοχές.
Για να το διαδώσουν, χρησιμοποιούν λογαριασμούς μέσων κοινωνικής δικτύωσης για να ανακατευθύνουν πιθανά θύματα σε ένα κανάλι Telegram που θα τους παρείχε συνδέσμους για λήψη και εγκατάσταση του παγιδευμένου VPN.
Για να δελεάσουν τα θύματα να κατεβάσουν εμφυτεύματα spyware, οι αντίπαλοι της SandStrike δημιούργησαν λογαριασμούς στο Facebook και στο Instagram με περισσότερους από 1.000 ακόλουθους και σχεδίασαν ελκυστικό υλικό με θρησκευτικό θέμα, δημιουργώντας μια αποτελεσματική παγίδα για τους οπαδούς αυτής της πεποίθησης.
Οι περισσότεροι από αυτούς τους λογαριασμούς κοινωνικών μέσων ενημέρωσης περιέχουν έναν σύνδεσμο προς ένα κανάλι Telegram που δημιουργήθηκε επίσης από τον εισβολέα.
Ενώ η εφαρμογή είναι πλήρως λειτουργική και χρησιμοποιεί ακόμη και τη δική της υποδομή VPN, ο πελάτης VPN εγκαθιστά επίσης το λογισμικό υποκλοπής SandStrike, το οποίο σαρώνει τις συσκευές του για ευαίσθητα δεδομένα και το διοχετεύει στους διακομιστές των χειριστών του.
Αυτό το κακόβουλο λογισμικό θα κλέψει διάφορους τύπους πληροφοριών, όπως αρχεία καταγραφής κλήσεων και λίστες επαφών και θα παρακολουθεί επίσης παραβιασμένες συσκευές Android για να βοηθήσει τους δημιουργούς του να παρακολουθούν τη δραστηριότητα των θυμάτων.