Mobilní malware FlexStarling
Obránci lidských práv v Maroku a oblasti Západní Sahary čelí nové hrozbě ze strany kybernetických útočníků, kteří využívají phishingové techniky, aby oklamali oběti, aby si instalovaly falešné aplikace pro Android a prezentovaly falešné přihlašovací stránky za účelem získání přihlašovacích údajů od uživatelů Windows. Tato škodlivá kampaň se točí kolem nedávno identifikovaného malwaru pro Android s názvem FlexStarling.
Odborníci na kybernetickou bezpečnost, známí také jako Starry Addax, aktivně monitorují tuto hrozbu, která se konkrétně zaměřuje na aktivisty spojené se Saharskou arabskou demokratickou republikou (SADR).
Starry Addax funguje prostřednictvím infrastruktury zahrnující dvě webové stránky – ondroid.site a ondroid.store, zaměřené na uživatele Android i Windows. Pro uživatele Windows útočníci vytvořili padělané webové stránky připomínající oblíbené platformy sociálních médií, aby ukradli přihlašovací údaje.
Obsah
Zdá se, že Starry Addax přizpůsobuje svůj přístup podle cílených obětí
Zdá se, že aktér hrozby Starry Addax zakládá vlastní infrastrukturu a hostuje stránky určené ke sběru přihlašovacích údajů, včetně padělaných přihlašovacích stránek pro široce používaná média a e-mailové služby po celém světě.
Tento protivník, podezřelý, že je aktivní od ledna 2024, využívá e-maily typu spear-phishing k cílení na jednotlivce, které je vybízí ke stažení mobilní aplikace Sahara Press Service nebo související návnady relevantní pro daný region.
Po analýze operačního systému žádajícího zařízení je oběť přesměrována, aby si buď stáhla podvodný soubor APK vydávající se za aplikaci Sahara Press Service, nebo byla přesměrována na falešnou přihlašovací stránku sociálních médií, kde jsou shromážděny jejich přihlašovací údaje.
FlexStarling se objevuje na frontě malwaru pro Android
Nově objevený malware pro Android, FlexStarling, se může pochlubit všestranností a je navržen tak, aby nasazoval další škodlivé komponenty a zároveň tajně extrahoval citlivé informace z kompromitovaných zařízení.
Po instalaci FlexStarling vyzve uživatele, aby udělil rozsáhlá oprávnění, což malwaru umožní provádět řadu nebezpečných činností. Může přijímat příkazy ze serveru Command-and-Control (C2) založeného na Firebase, což naznačuje záměrné úsilí aktéra hrozby vyhnout se detekci.
Takové kampaně, zejména ty, které se zaměřují na vysoce postavené osoby, mají obvykle za cíl zůstat na zařízení po delší dobu nedetekovány.
Zdá se, že každý aspekt tohoto malwaru, od jeho součástí až po provozní infrastrukturu, je šitý na míru této konkrétní kampani a zdůrazňuje silný důraz na utajení a provádění skrytých operací.
Starry Addax možná buduje arzenál vlastních malwarových nástrojů
Nejnovější objevy odhalují zajímavý vývoj: Starry Addax se rozhodl vytvořit vlastní řadu nástrojů a infrastruktury pro zacílení na aktivisty za lidská práva, spíše než spoléhat na předem připravený malware nebo komerčně dostupný spyware.
Přestože jsou útoky stále v raných provozních fázích, Starry Addax považuje podpůrnou infrastrukturu a malware, známý jako FlexStarling, za dostatečně vyvinuté, aby iniciovaly zacílení na aktivisty za lidská práva v severní Africe.
Časová osa událostí, včetně zřízení spojovacích bodů, center Command-and-Control (C2) a vývoje malwaru od začátku ledna 2024, naznačuje, že Starry Addax rychle buduje svou infrastrukturu, aby se zaměřila na vysoce postavené jednotlivce, a je připravena. získat dynamiku ve svých operacích.
