Zlonamerna programska oprema za mobilne naprave FlexStarling

Zagovorniki človekovih pravic v Maroku in na območju Zahodne Sahare se soočajo z novo grožnjo kibernetskih napadalcev, ki uporabljajo tehnike lažnega predstavljanja, da žrtve zavedejo v namestitev lažnih aplikacij za Android in predstavijo lažne prijavne strani za pridobitev poverilnic od uporabnikov sistema Windows. Ta škodljiva kampanja se vrti okoli nedavno identificirane zlonamerne programske opreme za Android, imenovane FlexStarling.

Strokovnjaki za kibernetsko varnost, znani tudi kot Starry Addax, dejavno spremljajo to grožnjo, ki cilja posebej na aktiviste, povezane s Saharsko arabsko demokratično republiko (SADR).

Starry Addax deluje prek infrastrukture, ki vključuje dve spletni strani - ondroid.site in ondroid.store, ki sta namenjeni tako uporabnikom Android kot Windows. Za uporabnike operacijskega sistema Windows so napadalci postavili ponarejena spletna mesta, ki spominjajo na priljubljene platforme družbenih medijev, da bi ukradli poverilnice za prijavo.

Zdi se, da Starry Addax prilagaja svoj pristop glede na ciljne žrtve

Zdi se, da nosilec grožnje Starry Addax vzpostavlja svojo lastno infrastrukturo in gosti strani, namenjene zbiranju poverilnic, vključno s ponarejenimi stranmi za prijavo za široko uporabljene medijske in e-poštne storitve po vsem svetu.

Ta nasprotnik, za katerega sumijo, da je aktiven od januarja 2024, uporablja e-poštna sporočila za lažno predstavljanje, da cilja na posameznike in jih spodbuja, da prenesejo mobilno aplikacijo Sahara Press Service ali povezano vabo, pomembno za regijo.

Po analizi operacijskega sistema naprave, ki je zahtevala, je žrtev usmerjena v prenos goljufivega APK-ja, ki se predstavlja kot aplikacija Sahara Press Service, ali preusmerjena na lažno stran za prijavo v družbene medije, kjer se zbirajo njene poverilnice.

FlexStarling se pojavi na čelu zlonamerne programske opreme za Android

Novo odkrita zlonamerna programska oprema za Android, FlexStarling, se ponaša z vsestranskostjo in je zasnovana za uvajanje dodatnih zlonamernih komponent, medtem ko tajno pridobiva občutljive podatke iz ogroženih naprav.

Po namestitvi FlexStarling od uporabnika zahteva, da dodeli obsežna dovoljenja, kar zlonamerni programski opremi omogoči izvajanje vrste nevarnih dejavnosti. Lahko prejema ukaze s strežnika za ukaze in nadzor (C2), ki temelji na Firebase, kar kaže na namerno prizadevanje akterja grožnje, da bi se izognil zaznavi.

Takšne kampanje, zlasti tiste, ki ciljajo na pomembne posameznike, običajno želijo ostati neodkrite v napravi dalj časa.

Zdi se, da so vsi vidiki te zlonamerne programske opreme, od njenih sestavnih delov do operativne infrastrukture, narejeni po meri za to posebno kampanjo, pri čemer je poudarjen močan poudarek na prikritosti in izvajanju tajnih operacij.

Starry Addax morda gradi arzenal orodij za zlonamerno programsko opremo po meri

Najnovejša odkritja razkrivajo zanimiv razvoj: Starry Addax se je odločil zgraditi lastno paleto orodij in infrastrukture za ciljanje na aktiviste za človekove pravice, namesto da bi se zanašal na vnaprej izdelano zlonamerno programsko opremo ali komercialno dostopno vohunsko programsko opremo.

Čeprav so napadi še vedno v zgodnjih operativnih fazah, je Starry Addax menil, da sta podporna infrastruktura in zlonamerna programska oprema, znana kot FlexStarling, dovolj razvita za začetek napada na aktiviste za človekove pravice v Severni Afriki.

Časovnica dogodkov, vključno z vzpostavitvijo točk za oddajo, centrov za poveljevanje in nadzor (C2) in razvojem zlonamerne programske opreme od začetka januarja 2024, nakazuje, da Starry Addax hitro gradi svojo infrastrukturo za ciljanje na pomembne posameznike in je pripravljen pridobiti zagon v svojem delovanju.