Kaspersky ha pubblicato il report sulle attività dei cybercriminali nel terzo trimestre. Tra le novità spicca un sofisticato attacco spyware contro una minoranza persiana in Iran, sfruttando una VPN apparentemente innocua. Molti cittadini utilizzano le VPN per cercare di aggirare la censura del regime, quindi rappresentano un possibile bersaglio per il cyberspionaggio.
SandStrike nascosto nella VPN
La campagna di cyberspionaggio è iniziata nel mese di giugno. I principali bersagli sono i cittadini iraniani che professano la religione Baháʼí Faith, vietata in Iran. Gli autori sono probabilmente finanziati dalla repubblica islamica, il cui scopo è sopprimere le minoranze.
I cybercriminali cercano di convincere le ignare vittime a scaricare una VPN per Android che permetterebbe di accedere ad alcuni siti con argomenti legati alla suddetta religione. Sono stati creati account su Facebook e Instagram con oltre 1.000 follower. Alcuni di essi condividono il link ad un canale Telegram, sul quale viene pubblicato il link per scaricare l’app.
Gli autori dell’attacco hanno anche implementato un’infrastruttura funzionante per ingannare gli utenti. In realtà, insieme all’app viene installato lo spyware SandStrike che raccoglie numerosi dati sensibili dallo smartphone, tra cui cronologia delle chiamate ed elenco dei contatti. Il malware è in grado anche di tracciare tutte le attività delle vittime. I dati vengono quindi inviati ad un server remoto, dal quale lo spyware riceve ulteriori comandi.
La software house consiglia di non scaricare app da fonti sconosciute e di utilizzare una soluzione di sicurezza che rileva queste minacce informatiche.