FlexStarling Mobile Malware
Branitelji ljudskih prava u Maroku i području Zapadne Sahare suočavaju se s novom prijetnjom kibernetičkih napadača koji koriste tehnike krađe identiteta kako bi prevarili žrtve da instaliraju lažne Android aplikacije i predstave lažne stranice za prijavu kako bi prikupili vjerodajnice od korisnika Windowsa. Ova štetna kampanja vrti se oko nedavno identificiranog zlonamjernog softvera za Android nazvanog FlexStarling.
Također poznat kao Starry Addax, stručnjaci za kibernetičku sigurnost aktivno prate ovu prijetnju, koja posebno cilja na aktiviste povezane s Arapskom Demokratskom Republikom Sahrawi (SADR).
Starry Addax djeluje kroz infrastrukturu koja uključuje dvije web stranice - ondroid.site i ondroid.store, namijenjene korisnicima Androida i Windowsa. Za korisnike Windowsa napadači su postavili krivotvorene web stranice koje nalikuju popularnim platformama društvenih medija kako bi ukrali vjerodajnice za prijavu.
Sadržaj
Čini se da Starry Addax kroji svoj pristup prema ciljanim žrtvama
Čini se da akter prijetnje Starry Addax postavlja vlastitu infrastrukturu, hosting stranice dizajnirane za prikupljanje vjerodajnica, uključujući krivotvorene stranice za prijavu za široko korištene medije i usluge e-pošte širom svijeta.
Ovaj protivnik, za kojeg se sumnja da je aktivan od siječnja 2024., koristi e-poštu za krađu identiteta kako bi ciljao pojedince, potičući ih da preuzmu ili mobilnu aplikaciju Sahara Press Service ili srodni mamac relevantan za regiju.
Nakon analize operativnog sustava uređaja koji zahtijeva, žrtva se usmjerava ili da preuzme lažni APK koji se predstavlja kao aplikacija Sahara Press Service ili se preusmjerava na lažnu stranicu za prijavu na društvene mreže, gdje se skupljaju njezine vjerodajnice.
FlexStarling se pojavljuje na čelu Android zlonamjernog softvera
Novootkriveni zlonamjerni softver za Android, FlexStarling, može se pohvaliti svestranošću i dizajniran je za postavljanje dodatnih zlonamjernih komponenti dok tajno izvlači osjetljive informacije s kompromitiranih uređaja.
Nakon instalacije, FlexStarling traži od korisnika da da opsežna dopuštenja, omogućujući zlonamjernom softveru izvršavanje niza nesigurnih aktivnosti. Može primati naredbe s Command-and-Control (C2) poslužitelja temeljenog na Firebaseu, što ukazuje na namjerni pokušaj aktera prijetnje da izbjegne otkrivanje.
Takve kampanje, osobito one koje ciljaju na pojedince visokog profila, obično imaju za cilj ostati neotkriveni na uređaju dulje vrijeme.
Čini se da je svaki aspekt ovog zlonamjernog softvera, od njegovih komponenti do operativne infrastrukture, napravljen po mjeri za ovu specifičnu kampanju, ističući snažan naglasak na tajnosti i provođenju tajnih operacija.
Starry Addax možda gradi arsenal prilagođenih zlonamjernih alata
Najnovija otkrića otkrivaju intrigantan razvoj događaja: Starry Addax odlučio je izgraditi vlastiti niz alata i infrastrukture za ciljanje aktivista za ljudska prava umjesto da se oslanja na unaprijed napravljen zlonamjerni softver ili komercijalno dostupan špijunski softver.
Iako su napadi još uvijek u ranoj operativnoj fazi, Starry Addax je smatrao da su prateća infrastruktura i zlonamjerni softver, poznati kao FlexStarling, dovoljno razvijeni za pokretanje napada na aktiviste za ljudska prava u Sjevernoj Africi.
Vremenski slijed događaja, uključujući uspostavu točaka ispuštanja, centara za zapovijedanje i kontrolu (C2) i razvoj zlonamjernog softvera od početka siječnja 2024., sugerira da Starry Addax brzo gradi svoju infrastrukturu za ciljanje pojedinaca visokog profila i da je spreman da dobije zamah u svom poslovanju.
