FlexStarling Mobile'i pahavara
Maroko ja Lääne-Sahara piirkonna inimõiguste kaitsjad seisavad silmitsi uue ohuga küberründajatest, kes kasutavad andmepüügitehnikaid, et petta ohvreid installima võltsitud Androidi rakendusi ja esitama võltsitud sisselogimislehti, et koguda Windowsi kasutajatelt mandaate. See kahjulik kampaania keerleb hiljuti tuvastatud Androidi pahavara ümber, mille nimi on FlexStarling.
Tuntud ka kui Starry Addax, jälgivad küberturvalisuse eksperdid aktiivselt seda ohtu, mis on suunatud konkreetselt Sahara Araabia Demokraatliku Vabariigiga (SADR) seotud aktivistidele.
Starry Addax tegutseb infrastruktuuri kaudu, mis hõlmab kahte veebisaiti - ondroid.site ja ondroid.store, mis on suunatud nii Androidi kui ka Windowsi kasutajatele. Windowsi kasutajate jaoks seadistasid ründajad sisselogimismandaatide varastamiseks võltsitud veebisaite, mis meenutavad populaarseid sotsiaalmeediaplatvorme.
Sisukord
Starry Addax ilmub sihitud ohvrite järgi oma lähenemisviisi kohandamiseks
Näib, et Starry Addaxi ohustaja loob oma infrastruktuuri, majutades lehti, mis on loodud mandaatide kogumiseks, sealhulgas võltsitud sisselogimislehti laialdaselt kasutatavate meedia- ja meiliteenuste jaoks kogu maailmas.
See vastane, kes on olnud aktiivne alates 2024. aasta jaanuarist, kasutab üksikisikutele suunatud andmepüügimeile, julgustades neid alla laadima kas Sahara pressiteenistuse mobiilirakendust või sellega seotud, piirkonna jaoks asjakohast peibutusvahendit.
Taotluse esitanud seadme operatsioonisüsteemi analüüsimisel suunatakse ohver kas alla laadima Sahara pressiteenistuse rakendusena esinevat petturlikku APK-d või suunatakse võltsitud sotsiaalmeedia sisselogimislehele, kust kogutakse tema mandaadid.
FlexStarling kerkib esile Androidi pahavara rindel
Äsja avastatud Androidi pahavara FlexStarling on mitmekülgne ja loodud täiendavate pahatahtlike komponentide juurutamiseks, eraldades samal ajal salaja ohustatud seadmetest tundlikku teavet.
Installimisel palub FlexStarling kasutajal anda ulatuslikud load, mis võimaldab pahavaral sooritada mitmeid ohtlikke tegevusi. See võib vastu võtta käske Firebase'i-põhiselt Command-and-Control (C2) serverilt, mis viitab ohus osaleja tahtlikule jõupingutusele tuvastamisest kõrvale hiilida.
Sellised kampaaniad, eriti need, mis sihivad kõrge profiiliga inimesi, püüavad tavaliselt jääda seadmes pikemaks ajaks märkamatuks.
Selle pahavara kõik aspektid, alates selle komponentidest kuni operatiivse infrastruktuurini, näivad olevat selle konkreetse kampaania jaoks kohandatud, rõhutades suurt rõhku vargusele ja varjatud operatsioonide läbiviimisele.
Starry Addax võib luua kohandatud pahavara tööriistade arsenali
Viimased avastused näitavad intrigeerivat arengut: Starry Addax on otsustanud inimõiguste aktivistide sihtimiseks luua oma tööriistade ja infrastruktuuri, selle asemel et tugineda eelnevalt valmistatud pahavarale või kaubanduslikult saadaolevale nuhkvarale.
Kuigi rünnakud on alles algusjärgus, on Starry Addax pidanud toetavat infrastruktuuri ja pahavara, mida tuntakse FlexStarlingina, piisavalt arenenuks, et algatada Põhja-Aafrika inimõiguste aktivistide sihikule võtmine.
Sündmuste ajakava, sealhulgas loobumispunktide, juhtimis- ja juhtimiskeskuste (C2) loomine ja pahavara arendamine alates 2024. aasta jaanuari algusest, viitab sellele, et Starry Addax ehitab kiiresti oma infrastruktuuri kõrgetasemeliste isikute sihtimiseks ja on valmis. oma tegevuses hoogu juurde saada.
