FlexStarling Mobile -haittaohjelma
Marokon ja Länsi-Saharan alueen ihmisoikeuksien puolustajat kohtaavat uuden uhan kyberhyökkääjät, jotka käyttävät tietojenkalastelutekniikoita huijatakseen uhreja asentamaan väärennettyjä Android-sovelluksia ja esittämään vääriä kirjautumissivuja kerätäkseen tunnistetietoja Windows-käyttäjiltä. Tämä haitallinen kampanja pyörii äskettäin tunnistetun Android-haittaohjelman, nimeltä FlexStarling, ympärillä.
Tunnetaan myös nimellä Starry Addax, kyberturvallisuusasiantuntijat seuraavat aktiivisesti tätä uhkaa, joka kohdistuu erityisesti Saharan demokraattiseen arabitasavaltaan (SADR) liittyviin aktivisteihin.
Starry Addax toimii infrastruktuurin kautta, johon kuuluu kaksi verkkosivustoa - ondroid.site ja ondroid.store, jotka on suunnattu sekä Android- että Windows-käyttäjille. Windows-käyttäjille hyökkääjät perustivat väärennettyjä verkkosivustoja, jotka muistuttavat suosittuja sosiaalisen median alustoja varastaakseen kirjautumistiedot.
Sisällysluettelo
Starry Addax näyttää mukauttavan sen lähestymistapaa kohdennettujen uhrien mukaan
Starry Addax -uhkatoimija näyttää perustavan omaa infrastruktuuriaan, joka isännöi sivuja, jotka on suunniteltu keräämään tunnistetietoja, mukaan lukien väärennetyt kirjautumissivut laajalti käytetyille media- ja sähköpostipalveluille maailmanlaajuisesti.
Tämä vastustaja, jonka epäillään olleen aktiivinen tammikuusta 2024 lähtien, käyttää keihäshuijaussähköposteja kohdistaakseen yksittäisiin henkilöihin rohkaisemalla heitä lataamaan joko Saharan lehdistöpalvelun mobiilisovelluksen tai siihen liittyvän alueelle liittyvän houkuttimen.
Pyynnön pyytäneen laitteen käyttöjärjestelmän analysoinnin jälkeen uhri ohjataan joko lataamaan Sahara Press Service -sovellukseksi esiintyvä vilpillinen APK tai ohjataan väärennetylle sosiaalisen median kirjautumissivulle, jolta hänen tunnistetiedot kerätään.
FlexStarling nousee Android-haittaohjelmien rintamaan
Äskettäin löydetty Android-haittaohjelma, FlexStarling, on monipuolinen, ja se on suunniteltu lisäämään haitallisia komponentteja ja poimimaan salaa arkaluonteisia tietoja vaarantuneista laitteista.
Asennuksen yhteydessä FlexStarling kehottaa käyttäjää myöntämään laajoja käyttöoikeuksia, jolloin haittaohjelma voi suorittaa useita vaarallisia toimintoja. Se voi vastaanottaa komentoja Firebase-pohjaiselta Command-and-Control (C2) -palvelimelta, mikä osoittaa, että uhkatekijä on tahallaan pyrkinyt välttämään havaitsemisen.
Tällaisten kampanjoiden, erityisesti sellaisten, jotka on kohdistettu korkean profiilin henkilöihin, tarkoituksena on yleensä pysyä havaitsematta laitteella pitkän ajan.
Tämän haittaohjelman jokainen osa, sen komponenteista operatiiviseen infrastruktuuriin, näyttää olevan räätälöity tätä kampanjaa varten, mikä korostaa varkain ja salaisten operaatioiden tekemistä.
Starry Addax saattaa rakentaa mukautettuja haittaohjelmatyökaluja
Uusimmat löydöt paljastavat kiehtovan kehityksen: Starry Addax on päättänyt rakentaa oman valikoimansa työkaluja ja infrastruktuuria ihmisoikeusaktivistien kohdistamiseksi sen sijaan, että luottaisi valmiisiin haittaohjelmiin tai kaupallisesti saataviin vakoiluohjelmiin.
Vaikka hyökkäykset ovat vielä alkuvaiheessa, Starry Addax on katsonut FlexStarling-nimisen tukiinfrastruktuurin ja haittaohjelmat riittävän kehittyneiksi käynnistämään ihmisoikeusaktivistien kohdistamisen Pohjois-Afrikassa.
Tapahtumien aikajana, mukaan lukien pudotuspisteiden, Command-and-Control (C2) -keskusten ja haittaohjelmien kehittäminen tammikuun 2024 alusta lähtien, viittaa siihen, että Starry Addax rakentaa nopeasti infrastruktuuriaan kohdentaakseen korkean profiilin henkilöitä ja on valmis. saada toimintaansa vauhtiin.
