FlexStarling 모바일 악성코드

모로코와 서부 사하라 지역의 인권 옹호자들은 피싱 기술을 사용하여 피해자를 속여 가짜 Android 애플리케이션을 설치하고 가짜 로그인 페이지를 제시하여 Windows 사용자로부터 자격 증명을 수집하는 사이버 공격자의 새로운 위협에 직면해 있습니다. 이 유해한 캠페인은 최근 확인된 FlexStarling이라는 Android 악성 코드를 중심으로 전개됩니다.

Starry Addax라고도 알려진 사이버 보안 전문가들은 특히 SADR(Sahrawi Arab Democratic Republic)과 연계된 활동가들을 표적으로 삼는 이 위협을 적극적으로 모니터링하고 있습니다.

Starry Addax는 Android 및 Windows 사용자 모두를 대상으로 하는 ondroid.site 및 ondroid.store라는 두 웹사이트가 포함된 인프라를 통해 운영됩니다. Windows 사용자의 경우 공격자는 로그인 자격 증명을 훔치기 위해 인기 있는 소셜 미디어 플랫폼과 유사한 위조 웹사이트를 설정합니다.

Starry Addax는 표적 피해자에 따라 접근 방식을 조정하는 것으로 보입니다.

Starry Addax 위협 행위자는 전 세계적으로 널리 사용되는 미디어 및 이메일 서비스에 대한 위조 로그인 페이지를 포함하여 자격 증명을 수집하도록 설계된 페이지를 호스팅하는 자체 인프라를 설정하는 것으로 보입니다.

2024년 1월부터 활동한 것으로 의심되는 이 공격자는 개인을 대상으로 스피어 피싱 이메일을 사용하여 Sahara Press Service의 모바일 애플리케이션이나 해당 지역과 관련된 미끼를 다운로드하도록 유도합니다.

요청 장치의 운영 체제를 분석하면 피해자는 Sahara Press Service 애플리케이션으로 위장한 사기성 APK를 다운로드하거나 가짜 소셜 미디어 로그인 페이지로 리디렉션되어 자격 증명을 수집하게 됩니다.

FlexStarling이 Android 악성코드 전면에 등장

새로 발견된 Android 악성 코드인 FlexStarling은 다재다능함을 자랑하며 손상된 장치에서 민감한 정보를 은밀하게 추출하는 동시에 추가 악성 구성 요소를 배포하도록 설계되었습니다.

FlexStarling은 설치 시 사용자에게 광범위한 권한을 부여하라는 메시지를 표시하여 맬웨어가 안전하지 않은 다양한 활동을 실행할 수 있도록 합니다. Firebase 기반 C2(명령 및 제어) 서버로부터 명령을 수신할 수 있는데, 이는 위협 행위자가 탐지를 회피하려는 의도적인 노력을 나타냅니다.

이러한 캠페인, 특히 세간의 이목을 끄는 개인을 대상으로 하는 캠페인은 일반적으로 장기간 동안 장치에서 감지되지 않는 상태를 유지하는 것을 목표로 합니다.

구성 요소부터 운영 인프라까지 이 악성 코드의 모든 측면은 이 특정 캠페인에 맞게 맞춤 제작된 것으로 보이며, 스텔스 및 비밀 작전 수행에 중점을 두고 있습니다.

Starry Addax는 맞춤형 악성 코드 도구의 무기고를 구축하고 있을 수 있습니다.

최근 발견은 흥미로운 발전을 보여줍니다. Starry Addax는 미리 만들어진 악성 코드나 상업적으로 이용 가능한 스파이웨어에 의존하기보다는 인권 운동가를 표적으로 삼기 위한 자체 도구와 인프라 배열을 구축하기로 결정했습니다.

공격은 아직 초기 운영 단계에 있지만 Starry Addax는 FlexStarling으로 알려진 지원 인프라와 맬웨어가 북아프리카의 인권 운동가를 표적으로 삼기에 충분할 것으로 간주했습니다.

드롭 포인트 설정, 명령 및 제어(C2) 센터, 2024년 1월 초 이후의 맬웨어 개발을 포함한 이벤트 타임라인은 Starry Addax가 유명 개인을 표적으로 삼기 위해 인프라를 신속하게 구축하고 준비가 되어 있음을 시사합니다. 운영에 추진력을 얻기 위해.