FlexStarling Mobile ļaunprātīga programmatūra
Cilvēktiesību aizstāvji Marokā un Rietumsahāras apgabalā saskaras ar jauniem draudiem, ko rada kiberuzbrucēji, kuri izmanto pikšķerēšanas paņēmienus, lai maldinātu upurus, lai tie instalētu viltotas Android lietojumprogrammas un parādītu viltus pieteikšanās lapas, lai iegūtu akreditācijas datus no Windows lietotājiem. Šī kaitīgā kampaņa ir saistīta ar nesen identificētu Android ļaunprātīgu programmatūru, kuras nosaukums ir FlexStarling.
Kiberdrošības eksperti, kas pazīstami arī kā Starry Addax, aktīvi uzrauga šos draudus, kas īpaši vērsti pret aktīvistiem, kas saistīti ar Sahravi Arābu Demokrātisko Republiku (SADR).
Starry Addax darbojas, izmantojot infrastruktūru, kas ietver divas vietnes - ondroid.site un ondroid.store, kas paredzētas gan Android, gan Windows lietotājiem. Windows lietotājiem uzbrucēji izveidoja viltotas vietnes, kas atgādina populāras sociālo mediju platformas, lai nozagtu pieteikšanās akreditācijas datus.
Satura rādītājs
Zvaigžņotais Addax šķiet pielāgots tā pieejai saskaņā ar mērķa upuriem
Šķiet, ka Starry Addax draudu aktieris izveido savu infrastruktūru, mitinot lapas, kas paredzētas akreditācijas datu iegūšanai, tostarp viltotas pieteikšanās lapas plaši izmantotajiem plašsaziņas līdzekļiem un e-pasta pakalpojumiem visā pasaulē.
Šis pretinieks, par kuru tiek uzskatīts, ka tas ir aktīvs kopš 2024. gada janvāra, izmanto pikšķerēšanas e-pastus, lai mērķētu uz personām, mudinot tās lejupielādēt Sahāras preses dienesta mobilo lietojumprogrammu vai saistītu mānekli, kas attiecas uz reģionu.
Analizējot pieprasītājas ierīces operētājsistēmu, cietušais tiek novirzīts vai nu lejupielādēt krāpniecisku APK, kas uzdodas par Sahāras preses dienesta lietojumprogrammu, vai tiek novirzīts uz viltotu sociālo mediju pieteikšanās lapu, kur tiek iegūti viņa akreditācijas dati.
FlexStarling parādās Android ļaunprātīgas programmatūras frontē
Jaunatklātā Android ļaunprogrammatūra FlexStarling lepojas ar daudzpusību un ir izstrādāta, lai izvietotu papildu ļaunprātīgus komponentus, vienlaikus slepeni iegūstot sensitīvu informāciju no apdraudētām ierīcēm.
Pēc instalēšanas FlexStarling liek lietotājam piešķirt plašas atļaujas, ļaujot ļaunprātīgai programmatūrai veikt virkni nedrošu darbību. Tas var saņemt komandas no Firebase balstīta Command-and-Control (C2) servera, kas norāda uz apdraudējuma dalībnieka apzinātu centienu izvairīties no atklāšanas.
Šādas kampaņas, jo īpaši tās, kuru mērķauditorija ir augsta profila personas, parasti cenšas palikt ierīcē nepamanītas ilgāku laiku.
Šķiet, ka katrs šīs ļaunprogrammatūras aspekts, sākot no tās komponentiem un beidzot ar operatīvo infrastruktūru, ir īpaši pielāgots šai konkrētajai kampaņai, uzsverot, ka liela uzmanība tiek pievērsta slepenībai un slēptu operāciju veikšanai.
Iespējams, ka Starry Addax veido pielāgotu ļaunprātīgas programmatūras rīku arsenālu
Jaunākie atklājumi atklāj intriģējošu attīstību: Starry Addax ir izvēlējies izveidot savu rīku un infrastruktūru klāstu, lai mērķētu uz cilvēktiesību aktīvistiem, nevis paļauties uz iepriekš izveidotu ļaunprātīgu programmatūru vai komerciāli pieejamu spiegprogrammatūru.
Lai gan uzbrukumi joprojām ir agrīnā darbības stadijā, Starry Addax ir uzskatījis, ka atbalsta infrastruktūra un ļaunprātīga programmatūra, kas pazīstama kā FlexStarling, ir pietiekami attīstīta, lai uzsāktu vēršanos pret cilvēktiesību aktīvistiem Ziemeļāfrikā.
Notikumu laika grafiks, tostarp nolaišanas punktu, komandu un kontroles (C2) centru izveide un ļaunprātīgas programmatūras izstrāde kopš 2024. gada janvāra sākuma, liecina, ka Starry Addax ātri veido savu infrastruktūru, lai mērķētu uz augsta līmeņa personām, un ir gatavs. lai uzņemtu apgriezienus savā darbībā.
