بدافزار موبایل FlexStarling
مدافعان حقوق بشر در مراکش و منطقه صحرای غربی با تهدید جدیدی از سوی مهاجمان سایبری روبرو هستند که از تکنیکهای فیشینگ برای فریب قربانیان برای نصب برنامههای جعلی اندروید و ارائه صفحات لاگین ساختگی برای دریافت اعتبار از کاربران ویندوز استفاده میکنند. این کمپین مضر حول یک بدافزار اندرویدی اخیراً شناسایی شده به نام FlexStarling می چرخد.
کارشناسان امنیت سایبری که با نام Starry Addax نیز شناخته می شوند، به طور فعال این تهدید را که به طور خاص فعالان مرتبط با جمهوری دموکراتیک عربی صحرای (SADR) را هدف قرار می دهد، رصد می کنند.
Starry Addax از طریق زیرساخت شامل دو وب سایت - ondroid.site و ondroid.store که هم برای کاربران اندروید و هم کاربران ویندوز هدف قرار می گیرد، عمل می کند. برای کاربران ویندوز، مهاجمان وبسایتهای تقلبی شبیه پلتفرمهای رسانههای اجتماعی محبوب را راهاندازی کردند تا اعتبار ورود به سیستم را به سرقت ببرند.
فهرست مطالب
Starry Addax به نظر می رسد که رویکرد خود را با توجه به قربانیان هدف گرفته شده است
به نظر میرسد که بازیگر تهدید Starry Addax در حال راهاندازی زیرساختهای خود است و صفحاتی را میزبانی میکند که برای جمعآوری اعتبار طراحی شدهاند، از جمله صفحات ورود جعلی برای رسانهها و سرویسهای ایمیل پرکاربرد در سراسر جهان.
این دشمن، که گمان میرود از ژانویه 2024 فعال بوده است، از ایمیلهای فیشینگ نیزهای برای هدف قرار دادن افراد استفاده میکند و آنها را تشویق میکند تا اپلیکیشن موبایل سرویس مطبوعاتی صحرا یا یک فریب مرتبط با منطقه را دانلود کنند.
پس از تجزیه و تحلیل سیستم عامل دستگاه درخواست کننده، قربانی هدایت می شود تا یک APK تقلبی را که به عنوان برنامه خدمات مطبوعاتی صحرا معرفی می شود بارگیری کند یا به صفحه ورود به شبکه اجتماعی جعلی هدایت شود، جایی که اعتبار آنها جمع آوری می شود.
FlexStarling در جبهه بدافزار اندروید ظاهر شد
بدافزار اندرویدی تازه کشف شده، FlexStarling، دارای تطبیق پذیری است و برای استقرار اجزای مخرب اضافی در حالی که به طور مخفیانه اطلاعات حساس را از دستگاه های در معرض خطر استخراج می کند، طراحی شده است.
پس از نصب، FlexStarling از کاربر می خواهد مجوزهای گسترده ای را اعطا کند و بدافزار را قادر می سازد تا طیف وسیعی از فعالیت های ناامن را اجرا کند. این می تواند دستورات را از یک سرور Command-and-Control (C2) مبتنی بر Firebase دریافت کند که نشان دهنده تلاش عمدی عامل تهدید برای فرار از شناسایی است.
چنین کمپین هایی، به ویژه آنهایی که افراد با مشخصات بالا را هدف قرار می دهند، معمولاً هدفشان این است که برای مدت طولانی در دستگاه شناسایی نشوند.
هر جنبه ای از این بدافزار، از اجزای آن گرفته تا زیرساخت های عملیاتی، به نظر می رسد که برای این کمپین خاص طراحی شده است، که تاکید زیادی بر مخفی کاری و انجام عملیات های مخفیانه دارد.
Starry Addax ممکن است زرادخانه ای از ابزارهای بدافزار سفارشی بسازد
آخرین اکتشافات یک پیشرفت جالب را نشان می دهد: Starry Addax به جای اتکا به بدافزارهای از پیش ساخته شده یا نرم افزارهای جاسوسی موجود تجاری، مجموعه ای از ابزارها و زیرساخت های خود را برای هدف قرار دادن فعالان حقوق بشر بسازد.
اگرچه حملات هنوز در مراحل اولیه عملیاتی خود هستند، Starry Addax زیرساخت پشتیبانی و بدافزار معروف به FlexStarling را به اندازه کافی توسعه داده است تا فعالان حقوق بشر در شمال آفریقا را هدف قرار دهد.
جدول زمانی رویدادها، از جمله ایجاد نقاط دراپ، مراکز فرماندهی و کنترل (C2) و توسعه بدافزار از اوایل ژانویه 2024، نشان می دهد که Starry Addax به سرعت زیرساخت های خود را برای هدف قرار دادن افراد با مشخصات بالا ایجاد می کند و آماده است. تا در عملیات خود شتاب بگیرد.