بدافزار موبایل FlexStarling

مدافعان حقوق بشر در مراکش و منطقه صحرای غربی با تهدید جدیدی از سوی مهاجمان سایبری روبرو هستند که از تکنیک‌های فیشینگ برای فریب قربانیان برای نصب برنامه‌های جعلی اندروید و ارائه صفحات لاگین ساختگی برای دریافت اعتبار از کاربران ویندوز استفاده می‌کنند. این کمپین مضر حول یک بدافزار اندرویدی اخیراً شناسایی شده به نام FlexStarling می چرخد.

کارشناسان امنیت سایبری که با نام Starry Addax نیز شناخته می شوند، به طور فعال این تهدید را که به طور خاص فعالان مرتبط با جمهوری دموکراتیک عربی صحرای (SADR) را هدف قرار می دهد، رصد می کنند.

Starry Addax از طریق زیرساخت شامل دو وب سایت - ondroid.site و ondroid.store که هم برای کاربران اندروید و هم کاربران ویندوز هدف قرار می گیرد، عمل می کند. برای کاربران ویندوز، مهاجمان وب‌سایت‌های تقلبی شبیه پلتفرم‌های رسانه‌های اجتماعی محبوب را راه‌اندازی کردند تا اعتبار ورود به سیستم را به سرقت ببرند.

Starry Addax به نظر می رسد که رویکرد خود را با توجه به قربانیان هدف گرفته شده است

به نظر می‌رسد که بازیگر تهدید Starry Addax در حال راه‌اندازی زیرساخت‌های خود است و صفحاتی را میزبانی می‌کند که برای جمع‌آوری اعتبار طراحی شده‌اند، از جمله صفحات ورود جعلی برای رسانه‌ها و سرویس‌های ایمیل پرکاربرد در سراسر جهان.

این دشمن، که گمان می‌رود از ژانویه 2024 فعال بوده است، از ایمیل‌های فیشینگ نیزه‌ای برای هدف قرار دادن افراد استفاده می‌کند و آنها را تشویق می‌کند تا اپلیکیشن موبایل سرویس مطبوعاتی صحرا یا یک فریب مرتبط با منطقه را دانلود کنند.

پس از تجزیه و تحلیل سیستم عامل دستگاه درخواست کننده، قربانی هدایت می شود تا یک APK تقلبی را که به عنوان برنامه خدمات مطبوعاتی صحرا معرفی می شود بارگیری کند یا به صفحه ورود به شبکه اجتماعی جعلی هدایت شود، جایی که اعتبار آنها جمع آوری می شود.

FlexStarling در جبهه بدافزار اندروید ظاهر شد

بدافزار اندرویدی تازه کشف شده، FlexStarling، دارای تطبیق پذیری است و برای استقرار اجزای مخرب اضافی در حالی که به طور مخفیانه اطلاعات حساس را از دستگاه های در معرض خطر استخراج می کند، طراحی شده است.

پس از نصب، FlexStarling از کاربر می خواهد مجوزهای گسترده ای را اعطا کند و بدافزار را قادر می سازد تا طیف وسیعی از فعالیت های ناامن را اجرا کند. این می تواند دستورات را از یک سرور Command-and-Control (C2) مبتنی بر Firebase دریافت کند که نشان دهنده تلاش عمدی عامل تهدید برای فرار از شناسایی است.

چنین کمپین هایی، به ویژه آنهایی که افراد با مشخصات بالا را هدف قرار می دهند، معمولاً هدفشان این است که برای مدت طولانی در دستگاه شناسایی نشوند.

هر جنبه ای از این بدافزار، از اجزای آن گرفته تا زیرساخت های عملیاتی، به نظر می رسد که برای این کمپین خاص طراحی شده است، که تاکید زیادی بر مخفی کاری و انجام عملیات های مخفیانه دارد.

Starry Addax ممکن است زرادخانه ای از ابزارهای بدافزار سفارشی بسازد

آخرین اکتشافات یک پیشرفت جالب را نشان می دهد: Starry Addax به جای اتکا به بدافزارهای از پیش ساخته شده یا نرم افزارهای جاسوسی موجود تجاری، مجموعه ای از ابزارها و زیرساخت های خود را برای هدف قرار دادن فعالان حقوق بشر بسازد.

اگرچه حملات هنوز در مراحل اولیه عملیاتی خود هستند، Starry Addax زیرساخت پشتیبانی و بدافزار معروف به FlexStarling را به اندازه کافی توسعه داده است تا فعالان حقوق بشر در شمال آفریقا را هدف قرار دهد.

جدول زمانی رویدادها، از جمله ایجاد نقاط دراپ، مراکز فرماندهی و کنترل (C2) و توسعه بدافزار از اوایل ژانویه 2024، نشان می دهد که Starry Addax به سرعت زیرساخت های خود را برای هدف قرار دادن افراد با مشخصات بالا ایجاد می کند و آماده است. تا در عملیات خود شتاب بگیرد.