FlexStarling Mobile Malware
Apărătorii drepturilor omului din Maroc și zona Saharei de Vest se confruntă cu o nouă amenințare din partea atacatorilor cibernetici care folosesc tehnici de phishing pentru a înșela victimele să instaleze aplicații Android false și să prezinte pagini de conectare false pentru a colecta acreditări de la utilizatorii Windows. Această campanie dăunătoare se învârte în jurul unui malware Android recent identificat, numit FlexStarling.
Cunoscuți și sub numele de Starry Addax, experții în securitate cibernetică monitorizează activ această amenințare, care vizează în mod special activiștii legați de Republica Arabă Democrată Sahrawi (SADR).
Starry Addax operează prin infrastructură care implică două site-uri web - ondroid.site și ondroid.store, destinate atât utilizatorilor Android, cât și Windows. Pentru utilizatorii de Windows, atacatorii au creat site-uri web contrafăcute asemănătoare cu platformele populare de social media pentru a fura acreditările de conectare.
Cuprins
Starry Addax pare să-și adapteze abordarea potrivit victimelor vizate
Actorul de amenințări Starry Addax pare să își creeze propria infrastructură, găzduind pagini concepute pentru a colecta acreditări, inclusiv pagini de conectare contrafăcute pentru servicii media și e-mail utilizate pe scară largă în întreaga lume.
Acest adversar, suspectat a fi activ din ianuarie 2024, folosește e-mailuri de tip spear-phishing pentru a viza indivizi, încurajându-i să descarce fie aplicația mobilă a Sahara Press Service, fie o momeală aferentă, relevantă pentru regiune.
După ce analizează sistemul de operare al dispozitivului solicitant, victima este direcționată fie să descarce un APK fraudulos care se prezintă drept aplicația Sahara Press Service, fie redirecționată către o pagină de autentificare falsă pe rețelele sociale, de unde le sunt colectate acreditările.
FlexStarling apare pe frontul malware Android
Programul malware pentru Android recent descoperit, FlexStarling, se mândrește cu versatilitate și este conceput pentru a implementa componente rău intenționate suplimentare, în timp ce extrage în mod clandestin informații sensibile de pe dispozitivele compromise.
La instalare, FlexStarling solicită utilizatorului să acorde permisiuni extinse, permițând malware-ului să execute o serie de activități nesigure. Poate primi comenzi de la un server de comandă și control (C2) bazat pe Firebase, ceea ce indică un efort deliberat al actorului amenințării de a evita detectarea.
Astfel de campanii, în special cele care vizează persoane cu profil înalt, urmăresc de obicei să rămână nedetectate pe dispozitiv pentru o perioadă lungă de timp.
Fiecare aspect al acestui malware, de la componentele sale până la infrastructura operațională, pare a fi personalizat pentru această campanie specifică, subliniind un accent puternic pe stealth și desfășurarea de operațiuni ascunse.
Starry Addax poate construi un arsenal de instrumente malware personalizate
Cele mai recente descoperiri dezvăluie o dezvoltare intrigantă: Starry Addax a ales să-și construiască propria gamă de instrumente și infrastructură pentru a viza activiștii pentru drepturile omului, mai degrabă decât să se bazeze pe programe malware prefabricate sau spyware disponibile comercial.
Deși atacurile sunt încă în fazele operaționale incipiente, Starry Addax a considerat că infrastructura și malware-ul de sprijin, cunoscut sub numele de FlexStarling, sunt suficient de dezvoltate pentru a iniția țintirea activiștilor pentru drepturile omului din Africa de Nord.
Cronologia evenimentelor, inclusiv stabilirea de puncte de eliminare, centre de comandă și control (C2) și dezvoltarea de programe malware de la începutul lunii ianuarie 2024, sugerează că Starry Addax își construiește rapid infrastructura pentru a viza indivizi de profil și este pregătită. pentru a lua avânt în operațiunile sale.
