Мобилен зловреден софтуер FlexStarling
Защитниците на правата на човека в Мароко и района на Западна Сахара са изправени пред нова заплаха от кибератаки, които използват фишинг техники, за да измамят жертвите да инсталират фалшиви приложения за Android и да представят фалшиви страници за вход, за да събират идентификационни данни от потребители на Windows. Тази вредна кампания се върти около наскоро идентифициран зловреден софтуер за Android, наречен FlexStarling.
Известен също като Starry Addax, експертите по киберсигурност активно наблюдават тази заплаха, която е насочена специално към активисти, свързани с Сахарската арабска демократична република (SADR).
Starry Addax работи чрез инфраструктура, включваща два уебсайта - ondroid.site и ondroid.store, насочени както към потребителите на Android, така и към Windows. За потребителите на Windows нападателите създават фалшиви уебсайтове, наподобяващи популярни социални медийни платформи, за да откраднат идентификационни данни за вход.
Съдържание
Starry Addax изглежда адаптира своя подход според целевите жертви
Актьорът за заплаха Starry Addax изглежда създава своя собствена инфраструктура, хоствайки страници, предназначени за събиране на идентификационни данни, включително фалшиви страници за вход за широко използвани медии и имейл услуги по целия свят.
Този противник, за който се подозира, че е активен от януари 2024 г., използва фишинг имейли, за да се насочи към лица, насърчавайки ги да изтеглят или мобилното приложение на пресслужбата на Сахара, или свързана примамка, свързана с региона.
При анализиране на операционната система на заявеното устройство, жертвата се насочва или да изтегли измамно APK, представящо се за приложението Sahara Press Service, или се пренасочва към фалшива страница за вход в социални медии, където се събират идентификационните й данни.
FlexStarling се появява на фронта на зловреден софтуер за Android
Новооткритият злонамерен софтуер за Android, FlexStarling, може да се похвали с гъвкавост и е проектиран да внедрява допълнителни злонамерени компоненти, докато тайно извлича чувствителна информация от компрометирани устройства.
При инсталиране FlexStarling подканва потребителя да предостави обширни разрешения, което позволява на злонамерения софтуер да изпълнява набор от опасни дейности. Той може да получава команди от базиран на Firebase Command-and-Control (C2) сървър, което показва умишлено усилие от страна на заплахата да избегне откриването.
Такива кампании, особено тези, насочени към високопоставени лица, обикновено имат за цел да останат незабелязани на устройството за продължителен период от време.
Всеки аспект на този злонамерен софтуер, от неговите компоненти до оперативната инфраструктура, изглежда е специално създаден за тази конкретна кампания, подчертавайки силен акцент върху стелт и провеждането на тайни операции.
Starry Addax може да изгражда арсенал от персонализирани инструменти за зловреден софтуер
Последните открития разкриват интригуващо развитие: Starry Addax е избрал да изгради свой собствен набор от инструменти и инфраструктура за насочване към активисти за правата на човека, вместо да разчита на предварително създаден злонамерен софтуер или наличен в търговската мрежа шпионски софтуер.
Въпреки че атаките все още са в ранните си оперативни етапи, Starry Addax смята, че поддържащата инфраструктура и зловреден софтуер, известен като FlexStarling, са достатъчно развити, за да инициират насочване към активисти за правата на човека в Северна Африка.
Графикът на събитията, включително създаването на точки за пускане, центрове за командване и контрол (C2) и разработването на злонамерен софтуер от началото на януари 2024 г., предполага, че Starry Addax бързо изгражда своята инфраструктура, за да се насочи към високопоставени лица и е готов да набере скорост в дейността си.
