FlexStarling mobil skadelig programvare
Menneskerettighetsforkjempere i Marokko og Vest-Sahara-området står overfor en ny trussel fra cyberangripere som bruker phishing-teknikker for å lure ofre til å installere falske Android-applikasjoner og presentere falske påloggingssider for å hente inn legitimasjon fra Windows-brukere. Denne skadelige kampanjen dreier seg om en nylig identifisert Android-skadevare kalt FlexStarling.
Også kjent som Starry Addax, overvåker cybersikkerhetseksperter aktivt denne trusselen, som spesifikt retter seg mot aktivister knyttet til Saharawi Arab Democratic Republic (SADR).
Starry Addax opererer gjennom infrastruktur som involverer to nettsteder - ondroid.site og ondroid.store, rettet mot både Android- og Windows-brukere. For Windows-brukere satte angriperne opp falske nettsteder som ligner populære sosiale medieplattformer for å stjele påloggingsinformasjon.
Innholdsfortegnelse
Starry Addax ser ut til å skreddersy sin tilnærming i henhold til de målrettede ofrene
Starry Addax-trusselaktøren ser ut til å sette opp sin egen infrastruktur, og hoster sider designet for å hente inn legitimasjon, inkludert falske påloggingssider for mye brukte medie- og e-posttjenester over hele verden.
Denne motstanderen, mistenkt for å ha vært aktiv siden januar 2024, bruker spear-phishing-e-poster for å målrette mot enkeltpersoner, og oppmuntre dem til å laste ned enten Sahara Press Service sin mobilapplikasjon eller et relatert lokkedue som er relevant for regionen.
Etter å ha analysert operativsystemet til enheten som ber om, blir offeret bedt om å enten laste ned en uredelig APK som utgir seg for å være Sahara Press Service-applikasjonen eller omdirigert til en falsk påloggingsside for sosiale medier, der deres legitimasjon hentes.
FlexStarling dukker opp på Android-malwarefronten
Den nyoppdagede Android-malwaren, FlexStarling, kan skryte av allsidighet og er designet for å distribuere ytterligere skadelige komponenter samtidig som den i hemmelighet trekker ut sensitiv informasjon fra kompromitterte enheter.
Ved installasjon ber FlexStarling brukeren om å gi omfattende tillatelser, slik at skadevare kan utføre en rekke usikre aktiviteter. Den kan motta kommandoer fra en Firebase-basert Command-and-Control-server (C2), noe som indikerer en bevisst innsats fra trusselaktøren for å unngå oppdagelse.
Slike kampanjer, spesielt de som er rettet mot høyprofilerte personer, tar vanligvis sikte på å forbli uoppdaget på enheten i lengre tid.
Alle aspekter av denne skadevaren, fra komponentene til den operative infrastrukturen, ser ut til å være skreddersydd for denne spesifikke kampanjen, og fremhever en sterk vekt på stealth og å utføre skjulte operasjoner.
The Starry Addax kan bygge et arsenal av tilpassede verktøy for skadelig programvare
De siste oppdagelsene avslører en spennende utvikling: Starry Addax har valgt å konstruere sin egen rekke verktøy og infrastruktur for målretting mot menneskerettighetsaktivister i stedet for å stole på forhåndslaget skadevare eller kommersielt tilgjengelig spyware.
Selv om angrepene fortsatt er i de tidlige operasjonelle stadiene, har Starry Addax ansett den støttende infrastrukturen og skadevare, kjent som FlexStarling, tilstrekkelig utviklet til å sette i gang målretting mot menneskerettighetsaktivister i Nord-Afrika.
Tidslinjen for hendelser, inkludert etablering av slipppunkter, Command-and-Control (C2)-sentre og utvikling av skadelig programvare siden begynnelsen av januar 2024, antyder at Starry Addax raskt bygger sin infrastruktur for å målrette mot høyprofilerte individer og er klar. å få fart i driften.
