Κακόβουλο λογισμικό FlexStarling Mobile
Οι υπερασπιστές των ανθρωπίνων δικαιωμάτων στο Μαρόκο και την περιοχή της Δυτικής Σαχάρας αντιμετωπίζουν μια νέα απειλή από επιτιθέμενους στον κυβερνοχώρο που χρησιμοποιούν τεχνικές phishing για να εξαπατήσουν τα θύματα να εγκαταστήσουν ψεύτικες εφαρμογές Android και να παρουσιάζουν ψευδείς σελίδες σύνδεσης για τη συλλογή διαπιστευτηρίων από χρήστες Windows. Αυτή η επιβλαβής καμπάνια περιστρέφεται γύρω από ένα κακόβουλο λογισμικό Android που εντοπίστηκε πρόσφατα με το όνομα FlexStarling.
Γνωστό και ως Starry Addax, ειδικοί στον κυβερνοχώρο παρακολουθούν ενεργά αυτήν την απειλή, η οποία στοχεύει συγκεκριμένα ακτιβιστές που συνδέονται με την Αραβική Δημοκρατία της Σαχράουι (SADR).
Το Starry Addax λειτουργεί μέσω υποδομής που περιλαμβάνει δύο ιστότοπους - ondroid.site και ondroid.store, που απευθύνονται τόσο σε χρήστες Android όσο και σε χρήστες Windows. Για τους χρήστες των Windows, οι εισβολείς δημιούργησαν πλαστές ιστοσελίδες που μοιάζουν με δημοφιλείς πλατφόρμες μέσων κοινωνικής δικτύωσης για να κλέψουν τα διαπιστευτήρια σύνδεσης.
Πίνακας περιεχομένων
Το Starry Addax φαίνεται στο Tailer την προσέγγισή του σύμφωνα με τα στοχευμένα θύματα
Ο ηθοποιός απειλών Starry Addax φαίνεται να δημιουργεί τη δική του υποδομή, φιλοξενώντας σελίδες που έχουν σχεδιαστεί για τη συλλογή διαπιστευτηρίων, συμπεριλαμβανομένων πλαστών σελίδων σύνδεσης για ευρέως χρησιμοποιούμενα μέσα και υπηρεσίες email παγκοσμίως.
Αυτός ο αντίπαλος, ο οποίος υποπτεύεται ότι ήταν ενεργός από τον Ιανουάριο του 2024, χρησιμοποιεί ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) για να στοχεύσει άτομα, ενθαρρύνοντάς τα να κατεβάσουν είτε την εφαρμογή για κινητά της Υπηρεσίας Τύπου της Σαχάρας είτε ένα σχετικό δόλωμα που σχετίζεται με την περιοχή.
Μετά την ανάλυση του λειτουργικού συστήματος της αιτούσας συσκευής, το θύμα κατευθύνεται είτε να κατεβάσει ένα δόλιο APK που υποδύεται την εφαρμογή Sahara Press Service είτε να ανακατευθυνθεί σε μια ψεύτικη σελίδα σύνδεσης στα μέσα κοινωνικής δικτύωσης, όπου συγκεντρώνονται τα διαπιστευτήριά του.
Το FlexStarling εμφανίζεται στο Android Malware Front
Το πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό Android, το FlexStarling, διαθέτει ευελιξία και έχει σχεδιαστεί για να αναπτύσσει πρόσθετα κακόβουλα στοιχεία ενώ ταυτόχρονα εξάγει μυστικά ευαίσθητες πληροφορίες από παραβιασμένες συσκευές.
Κατά την εγκατάσταση, το FlexStarling ζητά από τον χρήστη να εκχωρήσει εκτεταμένα δικαιώματα, επιτρέποντας στο κακόβουλο λογισμικό να εκτελέσει μια σειρά από μη ασφαλείς δραστηριότητες. Μπορεί να λάβει εντολές από έναν διακομιστή Command-and-Control (C2) που βασίζεται στο Firebase, υποδεικνύοντας μια σκόπιμη προσπάθεια από τον παράγοντα απειλής να αποφύγει τον εντοπισμό.
Τέτοιες καμπάνιες, ιδιαίτερα εκείνες που στοχεύουν άτομα υψηλού προφίλ, συνήθως στοχεύουν να παραμείνουν απαρατήρητες στη συσκευή για εκτεταμένη διάρκεια.
Κάθε πτυχή αυτού του κακόβουλου λογισμικού, από τα στοιχεία του έως την επιχειρησιακή υποδομή, φαίνεται να είναι προσαρμοσμένη για τη συγκεκριμένη εκστρατεία, υπογραμμίζοντας την έντονη έμφαση στο stealth και τη διεξαγωγή μυστικών επιχειρήσεων.
Το Starry Addax ενδέχεται να δημιουργεί ένα οπλοστάσιο προσαρμοσμένων εργαλείων κακόβουλου λογισμικού
Οι τελευταίες ανακαλύψεις αποκαλύπτουν μια ενδιαφέρουσα εξέλιξη: η Starry Addax επέλεξε να κατασκευάσει τη δική της σειρά εργαλείων και υποδομών για να στοχεύσει ακτιβιστές ανθρωπίνων δικαιωμάτων αντί να βασίζεται σε προκατασκευασμένο κακόβουλο λογισμικό ή εμπορικά διαθέσιμο λογισμικό υποκλοπής.
Παρόλο που οι επιθέσεις βρίσκονται ακόμα στα αρχικά στάδια λειτουργίας τους, το Starry Addax έκρινε ότι η υποστηρικτική υποδομή και το κακόβουλο λογισμικό, γνωστά ως FlexStarling, είναι αρκετά ανεπτυγμένα για να ξεκινήσουν τη στόχευση ακτιβιστών για τα ανθρώπινα δικαιώματα στη Βόρεια Αφρική.
Το χρονοδιάγραμμα των γεγονότων, συμπεριλαμβανομένης της δημιουργίας σημείων πτώσης, κέντρων Command-and-Control (C2) και της ανάπτυξης κακόβουλου λογισμικού από τις αρχές Ιανουαρίου 2024, υποδηλώνει ότι το Starry Addax χτίζει γρήγορα την υποδομή του για να στοχεύει άτομα υψηλού προφίλ και είναι έτοιμη να αποκτήσει δυναμική στις δραστηριότητές της.
