Malware FlexStarling Mobile

Mbrojtësit e të drejtave të njeriut në Marok dhe në zonën e Saharasë Perëndimore përballen me një kërcënim të ri nga sulmuesit kibernetikë të cilët përdorin teknika phishing për të mashtruar viktimat në instalimin e aplikacioneve të rreme Android dhe paraqitjen e faqeve të rreme të hyrjes për të marrë kredencialet nga përdoruesit e Windows. Kjo fushatë e dëmshme sillet rreth një malware Android të identifikuar së fundmi, i quajtur FlexStarling.

I njohur gjithashtu si Starry Addax, ekspertët e sigurisë kibernetike po monitorojnë në mënyrë aktive këtë kërcënim, i cili synon veçanërisht aktivistët e lidhur me Republikën Demokratike Arabe Sahrawi (SADR).

Starry Addax operon përmes infrastrukturës që përfshin dy faqe interneti - ondroid.site dhe ondroid.store, që synojnë përdoruesit e Android dhe Windows. Për përdoruesit e Windows, sulmuesit krijuan faqe interneti të falsifikuara që ngjasojnë me platformat e njohura të mediave sociale për të vjedhur kredencialet e hyrjes.

Addax-i me yje duket për tailer qasjen e tij sipas viktimave të synuara

Aktori i kërcënimit Starry Addax duket se po krijon infrastrukturën e vet, duke pritur faqe të krijuara për të mbledhur kredencialet, duke përfshirë faqet e identifikimit të falsifikuara për mediat dhe shërbimet e postës elektronike të përdorura gjerësisht në mbarë botën.

Ky kundërshtar, që dyshohet se ka qenë aktiv që nga janari 2024, përdor email-e spear-phishing për të synuar individë, duke i inkurajuar ata të shkarkojnë ose aplikacionin celular të Shërbimit të Shtypit Sahara ose një mashtrim të lidhur me rajonin.

Pas analizimit të sistemit operativ të pajisjes kërkuese, viktima drejtohet ose të shkarkojë një APK mashtruese që paraqitet si aplikacioni i Shërbimit të Shtypit Sahara ose të ridrejtohet në një faqe të rreme hyrjeje në media sociale, ku mblidhen kredencialet e saj.

FlexStarling shfaqet në frontin e malware Android

Malware-i i sapo zbuluar Android, FlexStarling, krenohet me shkathtësi dhe është krijuar për të vendosur komponentë të tjerë me qëllim të keq, ndërkohë që nxjerr në mënyrë klandestine informacione të ndjeshme nga pajisjet e komprometuara.

Pas instalimit, FlexStarling i kërkon përdoruesit të japë leje të gjera, duke i mundësuar malware të ekzekutojë një sërë aktivitetesh të pasigurta. Ai mund të marrë komanda nga një server Command-and-Control (C2) i bazuar në Firebase, duke treguar një përpjekje të qëllimshme nga aktori i kërcënimit për të shmangur zbulimin.

Fushata të tilla, veçanërisht ato që synojnë individë të profilit të lartë, zakonisht synojnë të mbeten të pazbuluara në pajisje për një kohëzgjatje të zgjatur.

Çdo aspekt i këtij malware, nga komponentët e tij deri te infrastruktura operative, duket se është i përshtatur për këtë fushatë specifike, duke theksuar një theks të fortë në fshehtësitë dhe kryerjen e operacioneve të fshehta.

Starry Addax mund të ndërtojë një arsenal të mjeteve të personalizuara malware

Zbulimet më të fundit zbulojnë një zhvillim intrigues: Starry Addax ka zgjedhur të ndërtojë grupin e vet të mjeteve dhe infrastrukturës për të shënjestruar aktivistët e të drejtave të njeriut në vend që të mbështetet në malware të përgatitur paraprakisht ose në spyware komercialisht të disponueshëm.

Megjithëse sulmet janë ende në fazat e tyre të hershme operacionale, Starry Addax e ka konsideruar infrastrukturën mbështetëse dhe malware, të njohur si FlexStarling, të zhvilluara mjaftueshëm për të inicuar shënjestrimin e aktivistëve të të drejtave të njeriut në Afrikën e Veriut.

Afati kohor i ngjarjeve, duke përfshirë krijimin e pikave të rënies, qendrat e komandës dhe kontrollit (C2) dhe zhvillimin e malware që nga fillimi i janarit 2024, sugjeron që Starry Addax po ndërton me shpejtësi infrastrukturën e saj për të synuar individë të profilit të lartë dhe është i gatshëm për të fituar vrull në operacionet e saj.