Spyware SandStrike se dirige a los usuarios de Android

El spyware SandStrike se dirige a los usuarios de Android con una aplicación VPN trampeada

En el tercer trimestre de 2022, los analistas de Kaspersky descubrieron SandStrike, una campaña de espionaje en Android desconocida hasta entonces. Se dirige a una minoría religiosa de habla persa, Baháʼí, mediante la distribución de una app VPN que contiene un software espía muy sofisticado. Los expertos de Kaspersky también han detectado una actualización avanzada del clúster DeathNote y, junto con SentinelOne, investigaron el malware Metatron, detectado por primera vez. Este y otros descubrimientos se revelan en el último resumen trimestral de inteligencia sobre amenazas de Kaspersky. 

Para atraer a las víctimas a descargar los programas espía, los cibercriminales crearon cuentas de Facebook e Instagram con más de 1.000 seguidores y diseñaron atractivos materiales gráficos de temática religiosa, tendiendo una eficaz trampa a los seguidores de esta fe. La mayoría de estas cuentas de redes sociales contienen un enlace a un canal de Telegram también creado por el propio ciberatacante.

En este canal, el responsable de SandStrike distribuyó una aplicación VPN aparentemente inofensiva para acceder a sitios prohibidos en ciertas regiones, por ejemplo, a materiales relacionados con la religión. Para hacer que esta aplicación sea totalmente funcional, los ciberdelincuentes también crearon su propia infraestructura VPN.

Sin embargo, el usuario de la VPN contiene un software espía que funciona a la perfección y que permite a los atacantes recopilar y robar datos confidenciales, como registros de llamadas y listas de contactos, así como rastrear cualquier actividad posterior de los individuos perseguidos.

A lo largo del tercer trimestre de 2022, los actores de APTs cambiaron continuamente sus tácticas, afinando sus herramientas y desarrollando nuevas técnicas. Los hallazgos más significativos incluyen:

• La nueva y sofisticada plataforma de malware dirigida a empresas de telecomunicaciones, ISP y universidades.

Junto con SentinelOne, los analistas de Kaspersky han examinado una sofisticada plataforma de malware nunca antes vista, denominada Metatron, que sedirige principalmente a empresas de telecomunicaciones, proveedores de servicios de Internet y universidades de países de Oriente Medio y África. Metatron está diseñado para eludir las soluciones de seguridad nativas y desplegar plataformas de malware directamente en la memoria.

• La actualización de herramientas avanzadas y sofisticadas.

Los expertos de Kaspersky observaron que Lazarus utilizó el cluster DeathNote contra víctimas en Corea del Sur. El agente probablemente utilizó un compromiso estratégico de la web, empleando una cadena de infección similar a la que los analistas de Kaspersky han denunciado anteriormente, atacando un programa de seguridad de endpoint. Sin embargo, los expertos descubrieron que el malware y los esquemas de infección también se han actualizado. El atacante utilizó un malware inédito, con una funcionalidad mínima para ejecutar comandos desde el servidor C2. Utilizando este backdoor implantado, el operador permaneció oculto en el entorno de la víctima durante un mes y recopiló información del sistema.

• El ciberespionaje sigue siendo uno de los principales objetivos de las campañas de APT.

En el tercer trimestre de 2022, los analistas de Kaspersky detectaron numerosas campañas de APT, cuyo objetivo principal son las instituciones gubernamentales. Las últimas investigaciones muestran que este año, desde el mes de febrero, HotCousin ha intentado comprometer Ministerios de Asuntos Exteriores en Europa, Asia, África y Sudamérica.

«Como podemos ver en el análisis de los últimos tres meses, los actores de APT se dedican ahora a crear herramientas de ataque y a mejorar las antiguas para lanzar nuevas campañas maliciosas. En sus ataques, utilizan métodos ingeniosos e inesperados: SandStrike, que llega a los usuarios a través del servicio de VPN, donde las víctimas intentaban encontrar protección y seguridad, es un excelente ejemplo. Hoy en día es fácil distribuir malware a través de las redes sociales y permanecer sin ser detectado durante varios meses o más. Por eso es tan importante estar más alerta que nunca y asegurarse de estar equipado con inteligencia de amenazas y las herramientas adecuadas para protegerse de las amenazas existentes y emergentes», comenta Victor Chebyshev, analista principal de seguridad del GReAT de Kaspersky.

Para evitar ser víctima de un ataque dirigido por un ciberdelincuente conocido o desconocido, los analistas de Kaspersky recomiendan aplicar las siguientes medidas:

• Proporcionar al equipo SOC acceso a la última inteligencia sobre amenazas (TI). El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto de acceso único para la TI de la compañía, que proporciona datos sobre ciberataques y perspectivas recopiladas por Kaspersky durante los últimos 20 años. Para ayudar a las empresas a establecer defensas eficaces en estos tiempos turbulentos, Kaspersky ha anunciado el acceso gratuito a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso. Solicita acceso aquí.
• Mejorar el rendimiento de los equipos de ciberseguridad para que puedan hacer frente a las últimas amenazas dirigidas con la formación en línea de Kaspersky desarrollada por los expertos de GReAT.
• Utilizar una solución EDR de nivel empresarial como Kaspersky EDR Expert. Es esencial para detectar amenazas entre un mar de alertas dispersas gracias a la fusión automática de alertas en incidentes, así como para analizar y responder a un incidente de la manera más eficaz.
• Además de adoptar una protección esencial para los endpoints, implantar una solución de seguridad de nivel corporativo que detecte las amenazas avanzadas en la red en una fase precoz, como Kaspersky Anti Targeted Attack Platform.
• Dado que muchos ataques dirigidos comienzan con técnicas de ingeniería social, como el phishing, es importante incluir formación en materia de seguridad y enseñar habilidades prácticas a los miembros del equipo, utilizando herramientas como la Plataforma de Concienciación de Seguridad Automatizada de Kaspersky.

Expertos de Kaspersky explican en el siguiente vídeo cómo defenderse de las amenazas.

 

Kaspersky

Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es

. Leer artículo completo en Frikipandi Spyware SandStrike se dirige a los usuarios de Android.