FlexStarling Mobile Malware
Obhajcovia ľudských práv v Maroku a oblasti Západnej Sahary čelia novej hrozbe kybernetických útočníkov, ktorí využívajú techniky phishingu na oklamanie obetí, aby si nainštalovali falošné aplikácie pre Android a prezentovali falošné prihlasovacie stránky na získavanie poverení od používateľov Windowsu. Táto škodlivá kampaň sa točí okolo nedávno identifikovaného škodlivého softvéru pre Android s názvom FlexStarling.
Odborníci na kybernetickú bezpečnosť, známi tiež ako Starry Addax, aktívne monitorujú túto hrozbu, ktorá sa špecificky zameriava na aktivistov spojených so Saharskou arabskou demokratickou republikou (SADR).
Starry Addax funguje prostredníctvom infraštruktúry zahŕňajúcej dve webové stránky – ondroid.site a ondroid.store, zamerané na používateľov Androidu aj Windowsu. Pre používateľov systému Windows útočníci vytvorili falošné webové stránky pripomínajúce populárne platformy sociálnych médií, aby ukradli prihlasovacie údaje.
Obsah
Zdá sa, že Starry Addax upravuje svoj prístup podľa cieľových obetí
Zdá sa, že aktér hrozby Starry Addax zakladá svoju vlastnú infraštruktúru a hosťuje stránky určené na získavanie poverení, vrátane falošných prihlasovacích stránok pre široko používané médiá a e-mailové služby po celom svete.
Tento protivník, o ktorom sa predpokladá, že je aktívny od januára 2024, využíva spear-phishingové e-maily na zacielenie na jednotlivcov, pričom ich povzbudzuje, aby si stiahli buď mobilnú aplikáciu Sahara Press Service, alebo súvisiacu návnadu relevantnú pre daný región.
Po analýze operačného systému žiadajúceho zariadenia je obeť nasmerovaná, aby si buď stiahla podvodný súbor APK, ktorý sa vydáva za aplikáciu Sahara Press Service, alebo je presmerovaná na falošnú prihlasovaciu stránku sociálnych médií, kde sa získajú ich poverenia.
FlexStarling sa objavuje na fronte škodlivého softvéru pre Android
Novoobjavený malvér pre Android, FlexStarling, sa môže pochváliť všestrannosťou a je navrhnutý tak, aby nasadil ďalšie škodlivé komponenty a zároveň tajne získaval citlivé informácie z napadnutých zariadení.
Po inštalácii FlexStarling vyzve používateľa, aby udelil rozsiahle povolenia, čo umožní malvéru vykonávať celý rad nebezpečných činností. Môže prijímať príkazy zo servera Command-and-Control (C2) založeného na Firebase, čo naznačuje úmyselné úsilie aktéra hrozby vyhnúť sa detekcii.
Takéto kampane, najmä tie, ktoré sú zacielené na vysokopostavených jednotlivcov, majú zvyčajne za cieľ zostať v zariadení nezistené počas dlhšieho obdobia.
Zdá sa, že každý aspekt tohto malvéru, od jeho komponentov až po operačnú infraštruktúru, je šitý na mieru pre túto špecifickú kampaň, pričom zdôrazňuje silný dôraz na utajenie a vykonávanie tajných operácií.
Hviezdny Addax môže stavať arzenál vlastných malvérových nástrojov
Najnovšie objavy odhaľujú zaujímavý vývoj: Starry Addax sa rozhodol vytvoriť svoj vlastný rad nástrojov a infraštruktúry na zacielenie na aktivistov za ľudské práva, namiesto toho, aby sa spoliehal na vopred pripravený malvér alebo komerčne dostupný spyware.
Hoci sú útoky stále v počiatočnej fáze prevádzky, Starry Addax považuje podpornú infraštruktúru a malvér, známy ako FlexStarling, za dostatočne vyvinuté na to, aby iniciovali zacielenie na aktivistov za ľudské práva v severnej Afrike.
Časová os udalostí, vrátane zriadenia miest prechodu, centier velenia a riadenia (C2) a vývoja malvéru od začiatku januára 2024, naznačuje, že Starry Addax rýchlo buduje svoju infraštruktúru, aby sa zamerala na významných jednotlivcov, a je pripravená. získať dynamiku vo svojich operáciách.
