FlexStarling mobiele malware
Mensenrechtenverdedigers in Marokko en het gebied van de Westelijke Sahara worden geconfronteerd met een nieuwe dreiging van cyberaanvallers die phishing-technieken gebruiken om slachtoffers te misleiden zodat ze nep-Android-applicaties installeren en valse inlogpagina's presenteren om inloggegevens van Windows-gebruikers te verzamelen. Deze schadelijke campagne draait om een onlangs geïdentificeerde Android-malware genaamd FlexStarling.
Cybersecurity-experts, ook bekend als Starry Addax, houden deze dreiging actief in de gaten, die zich specifiek richt op activisten die banden hebben met de Sahrawi Arabische Democratische Republiek (SADR).
Starry Addax werkt via een infrastructuur met twee websites: ondroid.site en ondroid.store, gericht op zowel Android- als Windows-gebruikers. Voor Windows-gebruikers zetten de aanvallers valse websites op die lijken op populaire sociale-mediaplatforms om inloggegevens te stelen.
Inhoudsopgave
Starry Addax lijkt zijn aanpak aan te passen aan de beoogde slachtoffers
De bedreigingsacteur van Starry Addax lijkt zijn eigen infrastructuur op te zetten, met het hosten van pagina's die zijn ontworpen om inloggegevens te verzamelen, waaronder valse inlogpagina's voor veelgebruikte media- en e-maildiensten over de hele wereld.
Deze tegenstander, die vermoedelijk actief is sinds januari 2024, maakt gebruik van spearphishing-e-mails om individuen te targeten en hen aan te moedigen de mobiele applicatie van de Sahara Press Service of een gerelateerde lokvogel te downloaden die relevant is voor de regio.
Bij analyse van het besturingssysteem van het aanvragende apparaat wordt het slachtoffer gevraagd om ofwel een frauduleuze APK te downloaden die zich voordoet als de Sahara Press Service-applicatie, ofwel omgeleid naar een valse inlogpagina voor sociale media, waar zijn inloggegevens worden verzameld.
FlexStarling duikt op op het Android-malwarefront
De nieuw ontdekte Android-malware, FlexStarling, beschikt over veelzijdigheid en is ontworpen om extra kwaadaardige componenten in te zetten en tegelijkertijd clandestien gevoelige informatie van besmette apparaten te extraheren.
Bij de installatie vraagt FlexStarling de gebruiker om uitgebreide machtigingen te verlenen, waardoor de malware een reeks onveilige activiteiten kan uitvoeren. Het kan opdrachten ontvangen van een op Firebase gebaseerde Command-and-Control (C2)-server, wat duidt op een opzettelijke poging van de bedreigingsacteur om detectie te omzeilen.
Dergelijke campagnes, vooral die gericht op spraakmakende personen, zijn er doorgaans op gericht om gedurende langere tijd onopgemerkt op het apparaat te blijven.
Elk aspect van deze malware, van de componenten tot de operationele infrastructuur, lijkt op maat gemaakt voor deze specifieke campagne, waarbij een sterke nadruk wordt gelegd op stealth en het uitvoeren van geheime operaties.
The Starry Addax bouwt mogelijk een arsenaal aan aangepaste malwaretools
De laatste ontdekkingen onthullen een intrigerende ontwikkeling: Starry Addax heeft ervoor gekozen om zijn eigen reeks tools en infrastructuur te bouwen om zich op mensenrechtenactivisten te richten, in plaats van te vertrouwen op kant-en-klare malware of in de handel verkrijgbare spyware.
Hoewel de aanvallen zich nog in een vroeg operationeel stadium bevinden, acht de Starry Addax de ondersteunende infrastructuur en malware, bekend als FlexStarling, voldoende ontwikkeld om zich te kunnen richten op mensenrechtenactivisten in Noord-Afrika.
De tijdlijn van de gebeurtenissen, waaronder de oprichting van droppoints, Command-and-Control (C2)-centra en de ontwikkeling van malware sinds begin januari 2024, suggereert dat Starry Addax snel zijn infrastructuur aan het opbouwen is om zich te richten op spraakmakende personen en klaar is om om momentum te krijgen in zijn activiteiten.
