Programari maliciós mòbil FlexStarling

Els defensors dels drets humans al Marroc i l'àrea del Sàhara Occidental s'enfronten a una nova amenaça d'atacants cibernètics que utilitzen tècniques de pesca per enganyar les víctimes perquè instal·lin aplicacions d'Android falses i presentin pàgines d'inici de sessió falses per obtenir credencials dels usuaris de Windows. Aquesta campanya nociva gira al voltant d'un programari maliciós d'Android identificat recentment anomenat FlexStarling.

També conegut com a Starry Addax, els experts en ciberseguretat estan monitoritzant activament aquesta amenaça, que s'adreça específicament a activistes vinculats a la República Àrab Saharaui Democràtica (RASD).

Starry Addax funciona mitjançant una infraestructura que inclou dos llocs web: ondroid.site i ondroid.store, adreçats tant a usuaris d'Android com de Windows. Per als usuaris de Windows, els atacants van crear llocs web falsificats que s'assemblen a les plataformes populars de xarxes socials per robar les credencials d'inici de sessió.

Starry Addax apareix a Tailer el seu enfocament segons les víctimes apuntades

Sembla que l'actor d'amenaces Starry Addax està configurant la seva pròpia infraestructura, allotjant pàgines dissenyades per recollir credencials, incloses pàgines d'inici de sessió falsificades per a mitjans i serveis de correu electrònic àmpliament utilitzats a tot el món.

Aquest adversari, que se sospita que està actiu des del gener de 2024, utilitza correus electrònics de pesca amb lanza per apuntar persones, animant-los a descarregar-se l'aplicació mòbil del Servei de Premsa del Sàhara o un engany relacionat rellevant per a la regió.

Després d'analitzar el sistema operatiu del dispositiu sol·licitant, la víctima es dirigeix a descarregar un APK fraudulent que es fa passar per l'aplicació del Servei de Premsa del Sàhara o redirigit a una pàgina d'inici de sessió de xarxes socials falsa, on es recullen les seves credencials.

FlexStarling sorgeix al front del programari maliciós d’Android

El programari maliciós d'Android recentment descobert, FlexStarling, té versatilitat i està dissenyat per desplegar components maliciosos addicionals alhora que extreu clandestinament informació sensible de dispositius compromesos.

Després de la instal·lació, FlexStarling demana a l'usuari que concedeixi permisos amplis, cosa que permet que el programari maliciós executi una sèrie d'activitats insegures. Pot rebre ordres d'un servidor d'ordres i control (C2) basat en Firebase, cosa que indica un esforç deliberat de l'actor de l'amenaça per evadir la detecció.

Aquestes campanyes, especialment les que s'orienten a persones d'alt perfil, solen tenir com a objectiu no ser detectades al dispositiu durant una durada prolongada.

Tots els aspectes d'aquest programari maliciós, des dels seus components fins a la infraestructura operativa, sembla que estan fets a mida per a aquesta campanya específica, destacant un fort èmfasi en el sigil i la realització d'operacions encobertes.

El Starry Addax pot estar construint un arsenal d’eines personalitzades de programari maliciós

Els darrers descobriments revelen un desenvolupament intrigant: Starry Addax ha optat per construir la seva pròpia gamma d'eines i infraestructures per dirigir-se als activistes dels drets humans en lloc de confiar en programari maliciós prefabricat o programari espia disponible comercialment.

Tot i que els atacs encara es troben en les seves primeres etapes operatives, Starry Addax ha considerat que la infraestructura de suport i el programari maliciós, conegut com FlexStarling, estan prou desenvolupats per iniciar l'objectiu d'activistes dels drets humans al nord d'Àfrica.

La cronologia dels esdeveniments, inclòs l'establiment de punts de caiguda, centres de comandament i control (C2) i el desenvolupament de programari maliciós des de principis de gener de 2024, suggereix que Starry Addax està construint ràpidament la seva infraestructura per orientar-se a persones de gran perfil i està preparat. per guanyar impuls en les seves operacions.