Cyber-Threat Actor Uses Booby-Trapped VPN App to Deploy Android Spyware

source:
https://www.darkreading.com/mobile/cyber-threat-actor-booby-trapped-vpn-app-deploy-android-spyware
https://www.darkreading.com/mobile/cyber-threat-actor-booby-trapped-vpn-app-deploy-android-spyware

"SandStrike," the latest example of espionage-aimed Android malware, relies on elaborate social media efforts and back-end infrastructure.



Adware and other unwanted and potentially risky applications continue to represent the biggest threat that users of mobile devices currently face. But that doesn't mean attackers aren't constantly trying to deploy other sophisticated mobile malware as well.

The latest example is "SandStrike," a booby-trapped VPN application for loading spyware on Android devices. The malware is designed to find and steal call logs, contact lists, and other sensitive data from infected devices; it can also track and monitor targeted users, Kaspersky said in a report this week.

The security vendor said its researchers had observed the operators of SandStrike attempting to deploy the sophisticated spyware on devices belonging to members of Iran's Baha'i community, a persecuted, Persian-speaking minority group. But the vendor did not disclose how many devices the threat actor might have targeted or succeeded in infecting. Kaspersky could not be immediately reached for comment.

Elaborate Social Media Lures
To lure users into downloading the weaponized app, the threat actors have established multiple Facebook and Instagram accounts, all of which purport to have more than 1,000 followers. The social media accounts are loaded with what Kaspersky described as attractive, religious-themed graphics designed to grab the attention of members of the targeted faith group. The accounts often also contain a link to a Telegram channel that offers a free VPN app for users wishing to access sites containing banned religious materials.

According to Kaspersky, the threat actors have even set up their own VPN infrastructure to make the app fully functional. But when a user downloads and uses SandStrike, it quietly collects and exfiltrates sensitive data associated with the owner of the infected device.

The campaign is just the latest in a growing list of espionage efforts involving advanced infrastructure and mobile spyware — an arena that includes well-known threats like NSO Group's notorious Pegasus spyware along with emerging problems like Hermit.

Mobile Malware on the Rise
The booby-trapped SandStrike VPN app is an example of the growing range of malware tools being deployed on mobile devices. Research that Proofpoint released earlier this year highlighted a 500% increase in mobile malware delivery attempts in Europe in the first quarter of this year. The increase followed a sharp decline in attack volumes toward the end of 2021.

The email security vendor found that many of the new malware tools are capable of a lot more than just credential stealing: "Recent detections have involved malware capable of recording telephone and non-telephone audio and video, tracking location and destroying or wiping content and data."

Google and Apple's official mobile app stores continue to be a popular mobile malware delivery vector. But threat actors are also increasingly using SMS-based phishing campaigns and social engineering scams of the sort seen in the SandStrike campaign to get users to install malware on their mobile devices.

Proofpoint also found that attackers are targeting Android devices far more heavily than iOS devices. One big reason is that iOS doesn't allow users to install an app via an unofficial third-party app store or to download it directly to the device, like Android does, Proofpoint said.

Different Types of Mobile Malware in Circulation
Proofpoint identified the most significant mobile malware threats as FluBot, TeaBot, TangleBot, MoqHao, and BRATA. The different capabilities integrated into these malware tools include data and credential theft, stealing funds from online accounts, and general spying and surveillance. One of these threats — FluBot — has been largely quiet since the disruption of its infrastructure in a coordinated law enforcement action in June.

Proofpoint found that mobile malware is not confined to a specific region or language. "Instead, threat actors adapt their campaigns to a variety of languages, regions and devices," the company warned.

Meanwhile, Kaspersky said it blocked some 5.5 million malware, adware, and riskware attacks targeted at mobile devices in Q2 2022. More than 25% of these attacks involved adware, making it the most common mobile threat at the moment. But other notable threats included mobile banking Trojans, mobile ransomware tools, spyware link SandStrike, and malware downloaders. Kaspersky found that creators of some malicious mobile apps have increasingly targeted users from multiple countries at once.

The mobile malware trend poses a growing threat to enterprise organizations, especially those that allow unmanaged and personally owned devices in the workplace. Last year, the US Cybersecurity and Infrastructure Security Agency (CISA) released a checklist of actions that organizations can take to address these threats. Its recommendations include the need for organizations to implement security-focused mobile device management; to ensure that only trusted devices are allowed access to applications and data; to use strong authentication; to disable access to third-party app stores; and to ensure that users use only curated app stores.

This looks really bad. What do you guys think?

这个我看过，好像有什么说法

(November 24, 2022, 12:10 PM)Kitang Wrote: Cyber-Threat Actor, Android Casus Yazılımını Dağıtmak için Booby-Trapped VPN Uygulamasını Kullanıyor

kaynak:
https://www.darkreading.com/mobile/cyber-threat-actor-booby-trapped-vpn-app-deploy-android-spyware
https:/ /www.darkreading.com/mobile/cyber-threat-actor-booby-trapped-vpn-app-deploy-android-spyware

Casusluk amaçlı Android kötü amaçlı yazılımlarının en son örneği olan "SandStrike", ayrıntılı sosyal medya çabalarına ve geri -son altyapı.

Image unavailable

Reklam yazılımları ve diğer istenmeyen ve potansiyel olarak riskli uygulamalar, mobil cihaz kullanıcılarının şu anda karşı karşıya olduğu en büyük tehdidi oluşturmaya devam ediyor. Ancak bu, saldırganların sürekli olarak diğer gelişmiş mobil kötü amaçlı yazılımları da dağıtmaya çalışmadıkları anlamına gelmez.

En son örnek, Android cihazlara casus yazılım yüklemek için bubi tuzaklı bir VPN uygulaması olan "SandStrike". Kötü amaçlı yazılım, virüslü cihazlardan arama günlüklerini, kişi listelerini ve diğer hassas verileri bulup çalmak için tasarlanmıştır; Kaspersky bu hafta bir raporda, hedeflenen kullanıcıları da izleyip izleyebildiğini söyledi.

Güvenlik satıcısı, araştırmacılarının SandStrike operatörlerinin gelişmiş casus yazılımları İran'ın zulüm gören, Farsça konuşan bir azınlık grubu olan Bahai toplumunun üyelerine ait cihazlara yerleştirmeye çalıştıklarını gözlemlediklerini söyledi. Ancak satıcı, tehdit aktörünün kaç cihazı hedef almış veya bulaştırmayı başarmış olabileceğini açıklamadı. Yorum için Kaspersky'ye hemen ulaşılamadı.

Ayrıntılı Sosyal Medya Cazibeleri
Tehdit aktörleri, kullanıcıları silah haline getirilmiş uygulamayı indirmeye ikna etmek için birden fazla Facebook ve Instagram hesabı açtı ve bunların hepsinin 1.000'den fazla takipçisi olduğu iddia ediliyor. Sosyal medya hesapları, Kaspersky'nin hedeflenen inanç grubunun üyelerinin dikkatini çekmek için tasarlanmış çekici, dini temalı grafikler olarak tanımladığı şeylerle dolu. Hesaplar genellikle, yasaklanmış dini materyaller içeren sitelere erişmek isteyen kullanıcılar için ücretsiz bir VPN uygulaması sunan bir Telegram kanalına bir bağlantı da içerir.

Kaspersky'ye göre, tehdit aktörleri, uygulamayı tamamen işlevsel hale getirmek için kendi VPN altyapılarını bile kurdular. Ancak bir kullanıcı SandStrike'ı indirip kullandığında, virüslü cihazın sahibiyle ilişkili hassas verileri sessizce toplar ve sızdırır.

Kampanya, NSO Group'un kötü şöhretli Pegasus casus yazılımı gibi iyi bilinen tehditlerin yanı sıra Hermit gibi ortaya çıkan sorunları içeren bir alan olan gelişmiş altyapı ve mobil casus yazılımları içeren ve giderek büyüyen casusluk çabaları listesinin en sonuncusu.

Mobil Kötü Amaçlı Yazılım Yükselişte
Bubi tuzaklı SandStrike VPN uygulaması, mobil cihazlara dağıtılan ve giderek artan sayıda kötü amaçlı yazılım araçlarının bir örneğidir. Proofpoint'in bu yılın başlarında yayınladığı araştırma, bu yılın ilk çeyreğinde Avrupa'da mobil kötü amaçlı yazılım dağıtım girişimlerinde %500'lük bir artış olduğunu vurguladı. Artış, 2021'in sonlarına doğru saldırı hacimlerindeki keskin düşüşün ardından geldi.

E-posta güvenliği satıcısı, yeni kötü amaçlı yazılım araçlarının birçoğunun yalnızca kimlik bilgilerini çalmaktan çok daha fazlasını yapabildiğini keşfetti: "Son tespitler, telefon ve telefon dışı ses ve videoyu kaydetme, konum izleme ve içeriği ve verileri yok etme veya silme yeteneğine sahip kötü amaçlı yazılımları içeriyor. ."

Google ve Apple'ın resmi mobil uygulama mağazaları, popüler bir mobil kötü amaçlı yazılım dağıtım vektörü olmaya devam ediyor. Ancak tehdit aktörleri, kullanıcıların mobil cihazlarına kötü amaçlı yazılım yüklemelerini sağlamak için SMS tabanlı kimlik avı kampanyalarını ve SandStrike kampanyasında görülen türden sosyal mühendislik dolandırıcılıklarını da giderek daha fazla kullanıyor.

Proofpoint, saldırganların Android cihazlarını iOS cihazlarından çok daha fazla hedeflediğini de tespit etti. Proofpoint, bunun en büyük nedenlerinden birinin, iOS'un kullanıcıların resmi olmayan bir üçüncü taraf uygulama mağazası aracılığıyla bir uygulama yüklemesine veya Android'in yaptığı gibi doğrudan cihaza indirmesine izin vermemesi olduğunu söyledi.

Dolaşımdaki Farklı Mobil Kötü Amaçlı Yazılım Türleri
Proofpoint, en önemli mobil kötü amaçlı yazılım tehditlerini FluBot, TeaBot, TangleBot, MoqHao ve BRATA olarak belirledi. Bu kötü amaçlı yazılım araçlarına entegre edilen farklı yetenekler arasında veri ve kimlik bilgisi hırsızlığı, çevrimiçi hesaplardan para çalma ve genel casusluk ve gözetleme yer alır. Bu tehditlerden biri olan FluBot, Haziran ayında koordineli bir yasa uygulama eylemiyle altyapısının bozulmasından bu yana büyük ölçüde sessiz kaldı.

Proofpoint, mobil kötü amaçlı yazılımın belirli bir bölge veya dille sınırlı olmadığını tespit etti. Şirket, "Bunun yerine, tehdit aktörleri kampanyalarını çeşitli dillere, bölgelere ve cihazlara uyarlıyor" uyarısında bulundu.

Bu arada Kaspersky, 2022'nin ikinci çeyreğinde mobil cihazları hedef alan yaklaşık 5,5 milyon kötü amaçlı yazılım, reklam yazılımı ve riskli yazılım saldırısını engellediğini söyledi. Bu saldırıların %25'inden fazlası reklam yazılımları içeriyordu ve bu da onu şu anda en yaygın mobil tehdit haline getiriyor. Ancak diğer önemli tehditler arasında mobil bankacılık Truva atları, mobil fidye yazılımı araçları, casus yazılım bağlantısı SandStrike ve kötü amaçlı yazılım indiricileri yer alıyor. Kaspersky, bazı kötü amaçlı mobil uygulamaların yaratıcılarının aynı anda birden fazla ülkeden kullanıcıları giderek daha fazla hedeflediğini tespit etti.

Mobil kötü amaçlı yazılım eğilimi, özellikle işyerinde yönetilmeyen ve kişisel olarak sahip olunan cihazlara izin veren kurumsal kuruluşlar için büyüyen bir tehdit oluşturuyor. Geçen yıl, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşların bu tehditleri ele almak için yapabilecekleri eylemleri içeren bir kontrol listesi yayınladı. Önerileri arasında, kuruluşların güvenlik odaklı mobil cihaz yönetimini uygulama ihtiyacı; uygulamalara ve verilere yalnızca güvenilir cihazların erişmesine izin verilmesini sağlamak; güçlü kimlik doğrulama kullanmak; üçüncü taraf uygulama mağazalarına erişimi devre dışı bırakmak için; ve kullanıcıların yalnızca seçilmiş uygulama mağazalarını kullanmasını sağlamak.

Thanks

just use mullvad, and stay away from the free crap