البرامج الضارة للأجهزة المحمولة FlexStarling

يواجه المدافعون عن حقوق الإنسان في المغرب ومنطقة الصحراء الغربية تهديدًا جديدًا من المهاجمين السيبرانيين الذين يستخدمون تقنيات التصيد لخداع الضحايا لتثبيت تطبيقات Android مزيفة وتقديم صفحات تسجيل دخول زائفة للحصول على بيانات الاعتماد من مستخدمي Windows. تدور هذه الحملة الضارة حول برنامج ضار يعمل بنظام Android تم تحديده مؤخرًا ويطلق عليه اسم FlexStarling.

المعروف أيضًا باسم Starry Addax، يراقب خبراء الأمن السيبراني هذا التهديد بنشاط، والذي يستهدف على وجه التحديد النشطاء المرتبطين بالجمهورية العربية الصحراوية الديمقراطية (SADR).

يعمل Starry Addax من خلال بنية تحتية تشتمل على موقعين على الويب - ondroid.site وondroid.store، ويستهدف مستخدمي Android وWindows. بالنسبة لمستخدمي Windows، قام المهاجمون بإعداد مواقع ويب مزيفة تشبه منصات الوسائط الاجتماعية الشهيرة لسرقة بيانات اعتماد تسجيل الدخول.

يبدو أن Starry Addax يصمم أسلوبه وفقًا للضحايا المستهدفين

يبدو أن جهة التهديد Starry Addax تقوم بإعداد بنيتها التحتية الخاصة، وتستضيف صفحات مصممة لجمع بيانات الاعتماد، بما في ذلك صفحات تسجيل الدخول المزيفة للوسائط وخدمات البريد الإلكتروني المستخدمة على نطاق واسع في جميع أنحاء العالم.

ويستخدم هذا العدو، الذي يُشتبه في أنه نشط منذ يناير 2024، رسائل بريد إلكتروني للتصيد الاحتيالي لاستهداف الأفراد، وتشجيعهم على تنزيل تطبيق الهاتف المحمول الخاص بـ Sahara Press Service أو شرك ذي صلة بالمنطقة.

عند تحليل نظام تشغيل الجهاز الطالب، يتم توجيه الضحية إما لتنزيل ملف APK احتيالي يتظاهر بأنه تطبيق Sahara Press Service أو إعادة توجيهه إلى صفحة تسجيل دخول مزيفة على وسائل التواصل الاجتماعي، حيث يتم جمع بيانات الاعتماد الخاصة به.

يظهر FlexStarling على واجهة البرامج الضارة لنظام Android

تتميز البرمجيات الخبيثة التي تم اكتشافها حديثًا لنظام Android، FlexStarling، بتعدد الاستخدامات وهي مصممة لنشر مكونات ضارة إضافية أثناء استخراج المعلومات الحساسة سرًا من الأجهزة المخترقة.

عند التثبيت، يطالب FlexStarling المستخدم بمنح أذونات واسعة النطاق، مما يمكّن البرامج الضارة من تنفيذ مجموعة من الأنشطة غير الآمنة. ويمكنه تلقي أوامر من خادم الأوامر والتحكم (C2) القائم على Firebase، مما يشير إلى جهد متعمد من قبل جهة التهديد لتجنب الكشف.

تهدف مثل هذه الحملات، وخاصة تلك التي تستهدف الأفراد البارزين، عادةً إلى البقاء غير مكتشفة على الجهاز لفترة طويلة.

يبدو أن كل جانب من جوانب هذه البرامج الضارة، بدءًا من مكوناتها وحتى البنية التحتية التشغيلية، مصمم خصيصًا لهذه الحملة المحددة، مما يسلط الضوء على التركيز القوي على التخفي وإجراء العمليات السرية.

قد تقوم شركة Starry Addax ببناء ترسانة من أدوات البرامج الضارة المخصصة

تكشف أحدث الاكتشافات عن تطور مثير للاهتمام: اختارت Starry Addax إنشاء مجموعتها الخاصة من الأدوات والبنية التحتية لاستهداف نشطاء حقوق الإنسان بدلاً من الاعتماد على البرامج الضارة المعدة مسبقًا أو برامج التجسس المتاحة تجاريًا.

على الرغم من أن الهجمات لا تزال في مراحلها التشغيلية المبكرة، فقد اعتبرت Starry Addax أن البنية التحتية الداعمة والبرامج الضارة، المعروفة باسم FlexStarling، متطورة بما يكفي لبدء استهداف نشطاء حقوق الإنسان في شمال إفريقيا.

يشير الجدول الزمني للأحداث، بما في ذلك إنشاء نقاط التسليم ومراكز القيادة والتحكم (C2)، وتطوير البرامج الضارة منذ أوائل يناير 2024، إلى أن Starry Addax تقوم ببناء بنيتها التحتية بسرعة لاستهداف الأفراد البارزين وهي مستعدة لتكتسب زخما في عملياتها.