Malware mobile FlexStarling
I difensori dei diritti umani in Marocco e nella zona del Sahara occidentale si trovano ad affrontare una nuova minaccia da parte di cyber aggressori che utilizzano tecniche di phishing per indurre le vittime a installare false applicazioni Android e a presentare pagine di accesso fasulle per raccogliere credenziali dagli utenti Windows. Questa campagna dannosa ruota attorno a un malware Android recentemente identificato denominato FlexStarling.
Conosciuta anche come Starry Addax, gli esperti di sicurezza informatica stanno monitorando attivamente questa minaccia, che prende di mira specificamente gli attivisti legati alla Repubblica Araba Democratica Saharawi (SADR).
Starry Addax opera attraverso un'infrastruttura che coinvolge due siti Web: ondroid.site e ondroid.store, rivolti sia agli utenti Android che a quelli Windows. Per gli utenti Windows, gli aggressori creano siti Web contraffatti che assomigliano a popolari piattaforme di social media per rubare le credenziali di accesso.
Sommario
L’Addax stellato sembra adattare il suo approccio in base alle vittime prese di mira
Sembra che l'autore della minaccia Starry Addax stia creando una propria infrastruttura, ospitando pagine progettate per raccogliere credenziali, comprese pagine di accesso contraffatte per media e servizi di posta elettronica ampiamente utilizzati in tutto il mondo.
Questo avversario, sospettato di essere attivo dal gennaio 2024, utilizza e-mail di spear phishing per prendere di mira gli individui, incoraggiandoli a scaricare l'applicazione mobile del Sahara Press Service o un'esca correlata rilevante per la regione.
Dopo aver analizzato il sistema operativo del dispositivo richiedente, la vittima viene indirizzata a scaricare un APK fraudolento che si spaccia per l'applicazione Sahara Press Service o viene reindirizzata a una falsa pagina di accesso ai social media, dove vengono raccolte le sue credenziali.
FlexStarling emerge sul fronte del malware Android
Il malware Android appena scoperto, FlexStarling, vanta versatilità ed è progettato per distribuire componenti dannosi aggiuntivi e allo stesso tempo estrarre clandestinamente informazioni sensibili dai dispositivi compromessi.
Al momento dell'installazione, FlexStarling richiede all'utente di concedere autorizzazioni estese, consentendo al malware di eseguire una serie di attività non sicure. Può ricevere comandi da un server Command-and-Control (C2) basato su Firebase, indicando uno sforzo deliberato da parte dell'autore della minaccia per eludere il rilevamento.
Tali campagne, in particolare quelle rivolte a individui di alto profilo, in genere mirano a non essere rilevate sul dispositivo per un periodo prolungato.
Ogni aspetto di questo malware, dai suoi componenti all'infrastruttura operativa, sembra essere fatto su misura per questa specifica campagna, evidenziando una forte enfasi sulla furtività e sulla conduzione di operazioni segrete.
Lo Starry Addax potrebbe costruire un arsenale di strumenti malware personalizzati
Le ultime scoperte rivelano uno sviluppo intrigante: Starry Addax ha scelto di costruire la propria gamma di strumenti e infrastrutture per prendere di mira gli attivisti per i diritti umani piuttosto che fare affidamento su malware già pronti o spyware disponibili in commercio.
Sebbene gli attacchi siano ancora nella loro fase operativa iniziale, Starry Addax ritiene che l'infrastruttura di supporto e il malware, noto come FlexStarling, siano sufficientemente sviluppati per iniziare a prendere di mira gli attivisti per i diritti umani in Nord Africa.
La cronologia degli eventi, inclusa la creazione di drop point, centri di comando e controllo (C2) e lo sviluppo di malware dall'inizio di gennaio 2024, suggerisce che Starry Addax sta rapidamente costruendo la sua infrastruttura per prendere di mira individui di alto profilo ed è pronta acquisire slancio nelle sue operazioni.
