Szkodliwe oprogramowanie mobilne FlexStarling
Obrońcy praw człowieka w Maroku i na obszarze Sahary Zachodniej stoją w obliczu nowego zagrożenia ze strony cyberprzestępców, którzy wykorzystują techniki phishingu, aby oszukać ofiary w celu zainstalowania fałszywych aplikacji dla systemu Android i przedstawienia fałszywych stron logowania w celu uzyskania danych uwierzytelniających od użytkowników systemu Windows. Ta szkodliwa kampania koncentruje się wokół niedawno zidentyfikowanego szkodliwego oprogramowania dla systemu Android o nazwie FlexStarling.
Eksperci ds. cyberbezpieczeństwa, znani również jako Starry Addax, aktywnie monitorują to zagrożenie, którego celem są w szczególności aktywiści powiązani z Sahrawi Arabską Republiką Demokratyczną (SADR).
Starry Addax działa poprzez infrastrukturę obejmującą dwie strony internetowe - ondroid.site i ondroid.store, skierowane zarówno do użytkowników Androida, jak i Windowsa. W przypadku użytkowników systemu Windows napastnicy konfigurują fałszywe witryny internetowe przypominające popularne platformy mediów społecznościowych w celu kradzieży danych logowania.
Spis treści
Wydaje się, że Starry Addax dostosowuje swoje podejście do docelowych ofiar
Wygląda na to, że ugrupowanie zagrażające Starry Addax tworzy własną infrastrukturę, hostując strony zaprojektowane w celu gromadzenia danych uwierzytelniających, w tym fałszywe strony logowania do powszechnie używanych mediów i usług poczty e-mail na całym świecie.
Przeciwnik ten, co do którego istnieje podejrzenie, że jest aktywny od stycznia 2024 r., wykorzystuje wiadomości e-mail typu spear-phishing, aby obrać za cel pojedyncze osoby, zachęcając je do pobrania aplikacji mobilnej Sahara Press Service lub powiązanego wabika odpowiedniego dla regionu.
Po przeanalizowaniu systemu operacyjnego urządzenia żądającego ofiara jest kierowana do pobrania fałszywego pliku APK udającego aplikację Sahara Press Service lub zostaje przekierowana na fałszywą stronę logowania do mediów społecznościowych, gdzie zbierane są jej dane uwierzytelniające.
FlexStarling pojawia się na froncie złośliwego oprogramowania dla Androida
Nowo odkryte szkodliwe oprogramowanie dla systemu Android, FlexStarling, charakteryzuje się wszechstronnością i zostało zaprojektowane w celu wdrażania dodatkowych szkodliwych komponentów podczas potajemnego wydobywania poufnych informacji z zaatakowanych urządzeń.
Po instalacji FlexStarling monituje użytkownika o przyznanie szerokich uprawnień, umożliwiając złośliwemu oprogramowaniu wykonywanie szeregu niebezpiecznych działań. Może odbierać polecenia z serwera dowodzenia i kontroli (C2) opartego na Firebase, co wskazuje na celowy wysiłek podmiotu zagrażającego mający na celu uniknięcie wykrycia.
Celem takich kampanii, szczególnie tych skierowanych do znanych osób, jest zazwyczaj pozostawienie niewykrytych na urządzeniu przez dłuższy czas.
Wydaje się, że każdy aspekt tego szkodliwego oprogramowania, od jego komponentów po infrastrukturę operacyjną, jest dostosowany do potrzeb tej konkretnej kampanii, kładąc nacisk na ukrywanie się i prowadzenie tajnych operacji.
Starry Addax może tworzyć arsenał niestandardowych narzędzi złośliwego oprogramowania
Najnowsze odkrycia ujawniają intrygujący rozwój: Starry Addax zdecydowała się zbudować własny zestaw narzędzi i infrastruktury do atakowania działaczy na rzecz praw człowieka, zamiast polegać na gotowym złośliwym oprogramowaniu lub dostępnym na rynku oprogramowaniu szpiegującym.
Chociaż ataki są wciąż na wczesnym etapie operacyjnym, Starry Addax uznał, że wspierająca infrastruktura i złośliwe oprogramowanie, znane jako FlexStarling, są wystarczająco rozwinięte, aby rozpocząć atakowanie obrońców praw człowieka w Afryce Północnej.
Kalendarium wydarzeń, w tym utworzenie punktów zrzutu, centrów dowodzenia i kontroli (C2) oraz rozwój szkodliwego oprogramowania od początku stycznia 2024 r., sugeruje, że Starry Addax szybko buduje swoją infrastrukturę, aby atakować ważne osoby i jest gotowy nabrać rozmachu w swojej działalności.
