FlexStarling Mobile Malware
Människorättsförsvarare i Marocko och Västsahara-området står inför ett nytt hot från cyberangripare som använder nätfisketekniker för att lura offren till att installera falska Android-applikationer och presentera falska inloggningssidor för att hämta inloggningsuppgifter från Windows-användare. Denna skadliga kampanj kretsar kring en nyligen identifierad skadlig programvara för Android som kallas FlexStarling.
Även känd som Starry Addax, cybersäkerhetsexperter övervakar aktivt detta hot, som specifikt riktar sig till aktivister kopplade till Saharawi Arab Democratic Republic (SADR).
Starry Addax fungerar genom infrastruktur som involverar två webbplatser - ondroid.site och ondroid.store, riktade till både Android- och Windows-användare. För Windows-användare satte angriparna upp förfalskade webbplatser som liknar populära sociala medieplattformar för att stjäla inloggningsuppgifter.
Innehållsförteckning
Starry Addax tycks anpassa sitt tillvägagångssätt enligt offren
Hotaktören Starry Addax verkar ha satt upp sin egen infrastruktur, som är värd för sidor utformade för att samla in referenser, inklusive förfalskade inloggningssidor för allmänt använda media- och e-posttjänster över hela världen.
Den här motståndaren, som misstänks ha varit aktiv sedan januari 2024, använder e-postmeddelanden med spjutfiske för att rikta in sig på individer, och uppmuntrar dem att ladda ner antingen Sahara Press Services mobilapplikation eller ett relaterat lockbete som är relevant för regionen.
Efter att ha analyserat operativsystemet för den begärande enheten, uppmanas offret att antingen ladda ner en bedräglig APK som utger sig för Sahara Press Service-applikation eller omdirigeras till en falsk inloggningssida för sociala medier, där deras referenser samlas in.
FlexStarling dyker upp på Android-malwarefronten
Den nyupptäckta skadliga programvaran för Android, FlexStarling, har mångsidighet och är designad för att distribuera ytterligare skadliga komponenter samtidigt som de extraherar känslig information i hemlighet från komprometterade enheter.
Vid installationen uppmanar FlexStarling användaren att ge omfattande behörigheter, vilket gör att skadlig programvara kan utföra en rad osäkra aktiviteter. Den kan ta emot kommandon från en Firebase-baserad Command-and-Control-server (C2), vilket indikerar ett avsiktligt försök från hotaktören för att undvika upptäckt.
Sådana kampanjer, särskilt de som riktar sig till högprofilerade individer, syftar vanligtvis till att förbli oupptäckta på enheten under en längre tid.
Varje aspekt av den här skadliga programvaran, från dess komponenter till den operativa infrastrukturen, verkar vara skräddarsydda för denna specifika kampanj, vilket lyfter fram en stark tonvikt på smygande och att genomföra hemliga operationer.
Starry Addax kan bygga ett arsenal av anpassade verktyg för skadlig programvara
De senaste upptäckterna avslöjar en spännande utveckling: Starry Addax har valt att konstruera sin egen uppsättning verktyg och infrastruktur för att rikta in sig på människorättsaktivister snarare än att förlita sig på färdigtillverkad skadlig programvara eller kommersiellt tillgänglig spionprogram.
Även om attackerna fortfarande är i ett tidigt operativt skede, har Starry Addax ansett att den stödjande infrastrukturen och skadlig programvara, känd som FlexStarling, är tillräckligt utvecklad för att initiera inriktning mot människorättsaktivister i Nordafrika.
Tidslinjen för händelser, inklusive etableringen av avlämningspunkter, Command-and-Control-center (C2) och utvecklingen av skadlig programvara sedan början av januari 2024, tyder på att Starry Addax snabbt bygger sin infrastruktur för att rikta in sig på högprofilerade individer och är redo att få fart i sin verksamhet.
