FlexStarling Mobile Malware
Menneskerettighedsforkæmpere i Marokko og Vestsahara-området står over for en ny trussel fra cyberangribere, der anvender phishing-teknikker til at bedrage ofre til at installere falske Android-applikationer og præsentere falske login-sider for at høste legitimationsoplysninger fra Windows-brugere. Denne skadelige kampagne kredser om en nyligt identificeret Android-malware kaldet FlexStarling.
Også kendt som Starry Addax, overvåger cybersikkerhedseksperter aktivt denne trussel, som specifikt retter sig mod aktivister, der er forbundet med Saharawi Arab Demokratiske Republik (SADR).
Starry Addax opererer gennem infrastruktur, der involverer to websteder - ondroid.site og ondroid.store, rettet mod både Android- og Windows-brugere. For Windows-brugere oprettede angriberne forfalskede websteder, der ligner populære sociale medieplatforme, for at stjæle login-legitimationsoplysninger.
Indholdsfortegnelse
Starry Addax ser ud til at tilpasse sin tilgang ifølge de målrettede ofre
Starry Addax-trusselsaktøren ser ud til at oprette sin egen infrastruktur, der hoster sider designet til at høste legitimationsoplysninger, herunder falske login-sider til udbredte medier og e-mail-tjenester verden over.
Denne modstander, der mistænkes for at have været aktiv siden januar 2024, bruger spear-phishing-e-mails til at målrette enkeltpersoner, og opfordrer dem til at downloade enten Sahara Press Service's mobilapplikation eller et relateret lokkemiddel, der er relevant for regionen.
Efter at have analyseret operativsystemet på den anmodende enhed, bliver offeret bedt om enten at downloade en svigagtig APK, der udgiver sig for at være Sahara Press Service-applikationen eller omdirigeret til en falsk login-side på sociale medier, hvor deres legitimationsoplysninger indsamles.
FlexStarling opstår på Android-malwarefronten
Den nyopdagede Android-malware, FlexStarling, kan prale af alsidighed og er designet til at implementere yderligere ondsindede komponenter, mens den hemmeligt udtrækker følsomme oplysninger fra kompromitterede enheder.
Efter installationen beder FlexStarling brugeren om at give omfattende tilladelser, hvilket gør det muligt for malwaren at udføre en række usikre aktiviteter. Den kan modtage kommandoer fra en Firebase-baseret Command-and-Control-server (C2), hvilket indikerer en bevidst indsats fra trusselsaktørens side for at undgå opdagelse.
Sådanne kampagner, især dem, der er rettet mod højprofilerede personer, sigter typisk mod at forblive uopdaget på enheden i længere tid.
Hvert aspekt af denne malware, fra dens komponenter til den operationelle infrastruktur, ser ud til at være skræddersyet til denne specifikke kampagne, hvilket fremhæver en stærk vægt på stealth og udførelsen af hemmelige operationer.
Starry Addax bygger muligvis et arsenal af tilpassede malwareværktøjer
De seneste opdagelser afslører en spændende udvikling: Starry Addax har valgt at konstruere sin egen række af værktøjer og infrastruktur til at målrette menneskerettighedsaktivister i stedet for at stole på forudfremstillet malware eller kommercielt tilgængelig spyware.
Selvom angrebene stadig er i deres tidlige operationelle stadier, har Starry Addax vurderet, at den understøttende infrastruktur og malware, kendt som FlexStarling, er tilstrækkeligt udviklet til at igangsætte målretning mod menneskerettighedsaktivister i Nordafrika.
Tidslinjen for begivenheder, herunder etableringen af droppoints, Command-and-Control (C2) centre og udviklingen af malware siden begyndelsen af januar 2024, tyder på, at Starry Addax hurtigt bygger sin infrastruktur til at målrette mod højprofilerede individer og er klar. at få fart på sin drift.
