Мобильное вредоносное ПО FlexStarling
Правозащитники в Марокко и регионе Западной Сахары сталкиваются с новой угрозой со стороны кибер-злоумышленников, которые используют методы фишинга, чтобы обманом заставить жертв установить поддельные приложения для Android и предоставить фальшивые страницы входа в систему для получения учетных данных пользователей Windows. Эта вредоносная кампания вращается вокруг недавно обнаруженного вредоносного ПО для Android, получившего название FlexStarling.
Эксперты по кибербезопасности, также известные как «Звездный Аддакс», активно отслеживают эту угрозу, которая конкретно нацелена на активистов, связанных с Сахарской Арабской Демократической Республикой (САДР).
Starry Addax работает через инфраструктуру, включающую два веб-сайта — ondroid.site и ondroid.store, ориентированную как на пользователей Android, так и на Windows. Для пользователей Windows злоумышленники создали поддельные веб-сайты, напоминающие популярные социальные сети, чтобы украсть учетные данные для входа.
Оглавление
Звездный Аддакс, похоже, адаптирует свой подход в зависимости от целевых жертв
Злоумышленник Starry Addax, похоже, создает собственную инфраструктуру, размещая страницы, предназначенные для сбора учетных данных, включая поддельные страницы входа в широко используемые медиа-сервисы и службы электронной почты по всему миру.
Этот злоумышленник, предположительно активный с января 2024 года, использует целевую фишинговую рассылку для отдельных лиц, побуждая их загрузить либо мобильное приложение пресс-службы Сахары, либо соответствующую приманку, имеющую отношение к региону.
После анализа операционной системы запрашивающего устройства жертве предлагается либо загрузить мошеннический APK-файл, выдающий себя за приложение пресс-службы Сахары, либо перенаправить на поддельную страницу входа в социальную сеть, где собираются ее учетные данные.
FlexStarling выходит на фронт вредоносного ПО для Android
Недавно обнаруженное вредоносное ПО для Android, FlexStarling, отличается универсальностью и предназначено для развертывания дополнительных вредоносных компонентов и тайного извлечения конфиденциальной информации со скомпрометированных устройств.
После установки FlexStarling предлагает пользователю предоставить расширенные разрешения, позволяя вредоносному ПО выполнять ряд небезопасных действий. Он может получать команды от сервера управления и контроля (C2) на базе Firebase, что указывает на преднамеренную попытку злоумышленника избежать обнаружения.
Такие кампании, особенно нацеленные на высокопоставленных лиц, обычно направлены на то, чтобы оставаться незамеченными на устройстве в течение длительного времени.
Каждый аспект этого вредоносного ПО, от его компонентов до операционной инфраструктуры, похоже, специально создан для этой конкретной кампании, что подчеркивает сильный упор на скрытность и проведение тайных операций.
Starry Addax может создать арсенал специальных вредоносных инструментов
Последние открытия свидетельствуют об интригующем развитии событий: Starry Addax решила создать собственный набор инструментов и инфраструктуры для нападения на правозащитников, а не полагаться на готовые вредоносные программы или коммерчески доступные шпионские программы.
Хотя атаки все еще находятся на ранних стадиях реализации, Starry Addax считает, что поддерживающая инфраструктура и вредоносное ПО, известное как FlexStarling, достаточно развиты, чтобы инициировать нападения на правозащитников в Северной Африке.
График событий, включая создание точек разгрузки, центров управления и контроля (C2) и разработку вредоносного ПО с начала января 2024 года, предполагает, что Starry Addax быстро строит свою инфраструктуру для нападения на высокопоставленных лиц и готов набрать обороты в своей деятельности.
