idNSA.id - Kampanye spyware Android yang sebelumnya tidak
terdokumentasi telah ditemukan menyerang orang-orang berbahasa Persia dengan
menyamar sebagai aplikasi VPN yang tampaknya tidak berbahaya.
Perusahaan keamanan siber Rusia Kaspersky melacak kampanye di
bawah moniker SandStrike. Itu belum dikaitkan dengan kelompok ancaman tertentu.
"SandStrike didistribusikan sebagai sarana untuk
mengakses sumber daya tentang agama Bahá'í yang dilarang di Iran,"
perusahaan tersebut mencatat dalam laporan tren APT untuk kuartal ketiga tahun
2022.
Sementara aplikasi ini seolah-olah dirancang untuk
menyediakan korban dengan koneksi VPN untuk melewati larangan, itu juga
dikonfigurasi untuk secara diam-diam menyedot data dari perangkat korban,
seperti log panggilan, kontak, dan bahkan terhubung ke server jauh untuk
mengambil perintah tambahan.
Layanan VPN jebakan, meskipun berfungsi penuh, dikatakan
didistribusikan melalui channel Telegram yang dikendalikan oleh musuh.
Tautan ke channel tersebut juga diiklankan di akun media
sosial palsu yang dibuat di Facebook dan Instagram dengan tujuan untuk memikat
calon korban agar mengunduh aplikasi tersebut.
Menurut laporan Amnesty International yang diterbitkan pada
Agustus 2022, Kementerian Intelijen Iran telah menangkap setidaknya 30 anggota
komunitas di berbagai bagian negara itu sejak 31 Juli 2022.
Minoritas agama telah menjadi sasaran penganiayaan yang
meningkat oleh otoritas Iran, menuduhnya sebagai mata-mata yang memiliki
hubungan dengan Israel, yang mengarah pada "penggerebekan, penangkapan
sewenang-wenang, penghancuran rumah, dan perampasan tanah."
"Aktor APT sekarang sangat sering digunakan untuk
membuat tool serangan dan meningkatkan yang lama untuk meluncurkan kampanye
jahat baru," kata peneliti keamanan Kaspersky, Victor Chebyshev.
"Dalam serangan mereka, mereka menggunakan metode licik
dan tak terduga. Saat ini mudah untuk mendistribusikan malware melalui jejaring
sosial dan tetap tidak terdeteksi selama beberapa bulan atau bahkan
lebih."
