Daha önce belgelenmemiş bir Android casus yazılım kampanyasının, görünüşte zararsız bir VPN uygulaması gibi görünerek Farsça konuşan bireyleri vurduğu tespit edildi.
Rus siber güvenlik firması Kaspersky, kampanyayı takma adla takip ediyor kum vuruşu. Belirli bir tehdit grubuna atfedilmemiş.
Şirket, 2022’nin üçüncü çeyreğine ilişkin APT eğilimleri raporunda, “SandStrike, İran’da yasaklanmış olan Bahai diniyle ilgili kaynaklara erişmenin bir yolu olarak dağıtılıyor” dedi.
Uygulama görünüşte kurbanlara yasağı aşmak için bir VPN bağlantısı sağlamak üzere tasarlanmış olsa da, kurbanların arama kayıtları, kişiler gibi cihazlarından gizlice veri çekecek ve hatta ek komutlar almak için uzak bir sunucuya bağlanacak şekilde yapılandırılmıştır.
Bubi tuzaklı VPN hizmetinin tamamen işlevsel olmasına rağmen, düşman tarafından kontrol edilen bir Telegram kanalı aracılığıyla dağıtıldığı söyleniyor.
Potansiyel kurbanları uygulamayı indirmeye teşvik etmek amacıyla Facebook ve Instagram’da kurulan sahte sosyal medya hesaplarında kanala bağlantılar da duyuruluyor.
Uluslararası Af Örgütü’nün Ağustos 2022’de yayınlanan bir raporuna göre, İran İstihbarat Bakanlığı 31 Temmuz 2022’den bu yana ülkenin çeşitli yerlerinde topluluktan en az 30 kişiyi tutukladı.
Dini azınlık, İranlı yetkililer tarafından İsrail’le bağlantılı casus olmakla suçlanarak “baskınlara, keyfi tutuklamalara, ev yıkımlarına ve toprak gasplarına” yol açmakla suçlanarak artan zulme maruz kaldı.
Kaspersky güvenlik araştırmacısı Victor Chebyshev, “APT aktörleri artık saldırı araçları oluşturmak ve eskilerini yeni kötü amaçlı kampanyalar başlatmak için geliştirmek için yoğun bir şekilde kullanılıyor.” Dedi.
“Saldırılarında kurnaz ve beklenmedik yöntemler kullanıyorlar. Günümüzde kötü amaçlı yazılımları sosyal ağlar üzerinden dağıtmak çok kolay ve birkaç ay hatta daha uzun süre fark edilmeden kalıyor.”