FlexStarling Mobile Malware
Os defensores dos direitos humanos em Marrocos e na área do Sahara Ocidental enfrentam uma nova ameaça de ciberataques que empregam técnicas de phishing para enganar as vítimas, levando-as a instalar aplicações Android falsas e a apresentar páginas de login falsas para recolher credenciais de utilizadores do Windows. Esta campanha prejudicial gira em torno de um malware Android recentemente identificado, denominado FlexStarling.
Também conhecida como Starry Addax, os especialistas em cibersegurança estão a monitorizar ativamente esta ameaça, que visa especificamente ativistas ligados à República Árabe Saharaui Democrática (RASD).
O Starry Addax opera por meio de infraestrutura envolvendo dois sites – ondroid.site e ondroid.store, voltados para usuários de Android e Windows. Para usuários do Windows, os invasores criaram sites falsificados, semelhantes a plataformas populares de mídia social, para roubar credenciais de login.
Índice
O Starry Addax Parece Adaptar Sua Abordagem dAcordo com as Vítimas-Alvo
O autor da ameaça Starry Addax parece estar configurando sua própria infraestrutura, hospedando páginas projetadas para coletar credenciais, incluindo páginas de login falsificadas para mídia e serviços de e-mail amplamente utilizados em todo o mundo.
Este adversário, suspeito de estar activo desde Janeiro de 2024, utiliza e-mails de spear-phishing para atingir indivíduos, encorajando-os a descarregar a aplicação móvel do Sahara Press Service ou um engodo relacionado relevante para a região.
Ao analisar o sistema operacional do dispositivo solicitante, a vítima é direcionada a baixar um APK fraudulento que se faz passar pelo aplicativo Sahara Press Service ou redirecionada para uma página de login falsa de mídia social, onde suas credenciais são coletadas.
O FlexStarling Se Esforça para Evitar Ser Detectado
O recém-descoberto malware Android, FlexStarling, apresenta versatilidade e foi projetado para implantar componentes maliciosos adicionais enquanto extrai clandestinamente informações confidenciais de dispositivos comprometidos.
Após a instalação, o FlexStarling solicita ao usuário que conceda permissões abrangentes, permitindo que o malware execute uma série de atividades inseguras. Ele pode receber comandos de um servidor de comando e controle (C2) baseado no Firebase, indicando um esforço deliberado do agente da ameaça para evitar a detecção.
Essas campanhas, especialmente aquelas direcionadas a indivíduos de alto perfil, normalmente visam permanecer indetectáveis no dispositivo por um longo período.
Todos os aspectos deste malware, desde os seus componentes até à infra-estrutura operacional, parecem ser feitos sob medida para esta campanha específica, destacando uma forte ênfase na furtividade e na condução de operações secretas.
The Starry Addax pode estar Construindo um Arsenal de Ferramentas Personalizadas de Malware
As últimas descobertas revelam um desenvolvimento intrigante: Starry Addax optou por construir o seu próprio conjunto de ferramentas e infra-estruturas para atacar activistas de direitos humanos, em vez de depender de malware pré-fabricado ou de spyware disponível comercialmente.
Embora os ataques ainda estejam nas suas fases operacionais iniciais, o Starry Addax considerou a infra-estrutura de apoio e o malware, conhecido como FlexStarling, suficientemente desenvolvidos para iniciar o ataque a activistas de direitos humanos no Norte de África.
A cronologia dos eventos, incluindo o estabelecimento de pontos de entrega, centros de comando e controlo (C2) e o desenvolvimento de malware desde o início de janeiro de 2024, sugere que a Starry Addax está a construir rapidamente a sua infraestrutura para atingir indivíduos de alto perfil e está preparada para para ganhar impulso em suas operações.
