FlexStarling Mobile Malware
A marokkói és a nyugat-szaharai emberi jogi jogvédők új fenyegetéssel néznek szembe a számítógépes támadóktól, akik adathalász technikákat alkalmaznak, hogy megtévesszék az áldozatokat, hogy hamis Android-alkalmazásokat telepítsenek, és hamis bejelentkezési oldalakat mutassanak be a Windows-felhasználók hitelesítő adatainak begyűjtésére. Ez a káros kampány egy nemrégiben azonosított, FlexStarling névre keresztelt androidos rosszindulatú program körül forog.
A Starry Addax néven is ismert kiberbiztonsági szakértők aktívan figyelik ezt a fenyegetést, amely kifejezetten a Szaharai Arab Demokratikus Köztársasággal (SADR) kapcsolatban álló aktivistákat célozza meg.
A Starry Addax két webhelyet – az ondroid.site-t és az ondroid.store-t – magában foglaló infrastruktúrán keresztül működik, amelyek mind az Android, mind a Windows felhasználókat célozzák. A Windows-felhasználók számára a támadók hamisított webhelyeket hoztak létre, amelyek népszerű közösségi médiaplatformokra emlékeztetnek, hogy ellopják a bejelentkezési adatokat.
Tartalomjegyzék
Csillagos Addax jelenik meg, hogy a célzott áldozatok szerint módosítsa a megközelítését
Úgy tűnik, hogy a Starry Addax fenyegetettség szereplője saját infrastruktúrát hoz létre, amely hitelesítő adatok gyűjtésére tervezett oldalakat tartalmaz, beleértve a világszerte széles körben használt média és e-mail szolgáltatások hamisított bejelentkezési oldalait.
Ez a feltehetően 2024 januárja óta aktív ellenfél lándzsás adathalász e-maileket alkalmaz magánszemélyek megcélzására, és arra ösztönzi őket, hogy töltsék le a Sahara Sajtószolgálat mobilalkalmazását, vagy egy kapcsolódó, a régióra vonatkozó csalit.
A kérelmező eszköz operációs rendszerének elemzésekor az áldozatot arra irányítják, hogy töltsön le egy csaló APK-t, amely a Sahara Press Service alkalmazásnak adja ki magát, vagy egy hamis közösségi média bejelentkezési oldalra irányítja át, ahol begyűjtik a hitelesítő adatait.
A FlexStarling felbukkan az Android rosszindulatú szoftverek frontján
Az újonnan felfedezett Android rosszindulatú program, a FlexStarling sokoldalúsággal büszkélkedhet, és további rosszindulatú összetevők telepítésére szolgál, miközben titokban kinyeri a bizalmas információkat a feltört eszközökről.
Telepítéskor a FlexStarling arra kéri a felhasználót, hogy adjon kiterjedt engedélyeket, lehetővé téve a rosszindulatú program számára, hogy számos nem biztonságos tevékenységet hajtson végre. Parancsokat tud fogadni egy Firebase-alapú Command-and-Control (C2) kiszolgálóról, jelezve a fenyegetés szereplőjének szándékos erőfeszítését az észlelés elkerülésére.
Az ilyen kampányok, különösen azok, amelyek nagy horderejű személyeket céloznak meg, általában arra irányulnak, hogy hosszabb ideig észrevétlenül maradjanak az eszközön.
Úgy tűnik, hogy ennek a rosszindulatú programnak minden aspektusa, az összetevőitől a működési infrastruktúráig, erre a konkrét kampányra szabott, kiemelve a lopakodó és titkos műveletek végzésének nagy hangsúlyt.
A Starry Addax egyéni rosszindulatú programok arzenálját építheti fel
A legújabb felfedezések egy érdekes fejleményről árulkodnak: a Starry Addax úgy döntött, hogy saját eszköztárat és infrastruktúrát hoz létre az emberi jogi aktivisták megcélzásához, ahelyett, hogy előre elkészített rosszindulatú programokra vagy kereskedelmi forgalomban kapható kémprogramokra hagyatkozna.
Bár a támadások még korai szakaszában vannak, a Starry Addax a támogató infrastruktúrát és a FlexStarling néven ismert rosszindulatú szoftvert kellően fejlettnek ítélte ahhoz, hogy megindítsa az emberi jogi aktivisták észak-afrikai célba vételét.
Az események időrendje, beleértve a leadási pontok, a Command-and-Control (C2) központok létrehozását és a rosszindulatú programok kifejlesztését 2024. január eleje óta, azt sugallja, hogy a Starry Addax gyorsan építi infrastruktúráját, hogy megcélozza a nagy horderejű személyeket, és készen áll. hogy lendületet vegyen működésében.
