FlexStarling Mobile Malware

מגיני זכויות אדם במרוקו ובאזור סהרה המערבית מתמודדים עם איום חדש מצד תוקפי סייבר המשתמשים בטכניקות דיוג כדי להונות קורבנות כדי להתקין אפליקציות אנדרואיד מזויפות ולהציג דפי כניסה מזויפים כדי לאסוף אישורים ממשתמשי Windows. מסע פרסום מזיק זה סובב סביב תוכנת זדונית אנדרואיד שזוהתה לאחרונה בשם FlexStarling.

ידוע גם בשם Starry Addax, מומחי אבטחת סייבר עוקבים אחר האיום הזה באופן פעיל, המכוון במיוחד לפעילים הקשורים לרפובליקה הערבית הדמוקרטית של סהרווי (SADR).

Starry Addax פועלת באמצעות תשתית הכוללת שני אתרים - ondroid.site ו-ondroid.store, המיועדים הן למשתמשי אנדרואיד והן למשתמשי Windows. עבור משתמשי Windows, התוקפים הקימו אתרים מזויפים הדומים לפלטפורמות מדיה חברתית פופולריות כדי לגנוב אישורי כניסה.

נראה כי כוכבי אדקס מחליפה את גישתו על פי הקורבנות הממוקדים

נראה ששחקן האיום של Starry Addax מקים תשתית משלו, מארח דפים שנועדו לאסוף אישורים, כולל דפי כניסה מזויפים עבור שירותי מדיה ודוא"ל בשימוש נרחב ברחבי העולם.

יריב זה, שעל פי החשד היה פעיל מאז ינואר 2024, משתמש בדוא"ל דיוג בחנית כדי למקד אנשים, ומעודד אותם להוריד את האפליקציה לנייד של שירות העיתונות של סהרה או פיתוי רלוונטי לאזור.

לאחר ניתוח מערכת ההפעלה של המכשיר המבקש, הקורבן מופנה להוריד APK הונאה המתחזה לאפליקציית Sahara Press Service או מנותב לדף התחברות מזויף של מדיה חברתית, שם נקצרים את האישורים שלו.

FlexStarling מופיע בחזית תוכנות זדוניות של אנדרואיד

תוכנת זדונית אנדרואיד שהתגלתה לאחרונה, FlexStarling, מתהדרת בגמישות ונועדת לפרוס רכיבים זדוניים נוספים תוך חילוץ חשאי של מידע רגיש ממכשירים שנפגעו.

עם ההתקנה, FlexStarling מבקש מהמשתמש להעניק הרשאות נרחבות, מה שמאפשר לתוכנה הזדונית לבצע מגוון פעילויות לא בטוחות. הוא יכול לקבל פקודות משרת Command-and-Control (C2) מבוסס Firebase, מה שמצביע על מאמץ מכוון של שחקן האיום להתחמק מזיהוי.

מסעות פרסום כאלה, במיוחד אלה המכוונים לאנשים בעלי פרופיל גבוה, שואפים בדרך כלל להישאר ללא זיהוי במכשיר למשך זמן ממושך.

נראה שכל היבט של תוכנה זדונית זו, ממרכיביה ועד לתשתית התפעולית, מותאם במיוחד עבור הקמפיין הספציפי הזה, תוך שימת דגש על התגנבות וביצוע פעולות חשאיות.

ייתכן שה-Starry Addax בונה ארסנל של כלי תוכנה זדונית מותאמים אישית

התגליות האחרונות חושפות התפתחות מרתקת: Starry Addax בחרה לבנות מערך כלים ותשתית משלה למיקוד פעילי זכויות אדם במקום להסתמך על תוכנות זדוניות מוכנות מראש או תוכנות ריגול זמינות מסחרית.

למרות שההתקפות עדיין בשלבי התפעול המוקדמים שלהן, ה-Starry Addax ראה שהתשתית התומכת והתוכנה הזדונית, הידועה בשם FlexStarling, מפותחת מספיק כדי ליזום התמקדות בפעילי זכויות אדם בצפון אפריקה.

ציר הזמן של האירועים, כולל הקמת נקודות יציאה, מרכזי פיקוד ובקרה (C2) ופיתוח תוכנות זדוניות מאז תחילת ינואר 2024, מצביע על כך ש-Starry Addax בונה במהירות את התשתית שלה כדי לכוון לאנשים בעלי פרופיל גבוה והיא עומדת לצבור תאוצה בפעילותה.