มัลแวร์มือถือ FlexStarling

นักปกป้องสิทธิมนุษยชนในโมร็อกโกและพื้นที่ซาฮาราตะวันตกเผชิญกับภัยคุกคามใหม่จากผู้โจมตีทางไซเบอร์ที่ใช้เทคนิคฟิชชิ่งเพื่อหลอกลวงเหยื่อให้ติดตั้งแอปพลิเคชัน Android ปลอม และนำเสนอหน้าเข้าสู่ระบบปลอมเพื่อรวบรวมข้อมูลประจำตัวจากผู้ใช้ Windows แคมเปญที่เป็นอันตรายนี้เกี่ยวข้องกับมัลแวร์ Android ที่ระบุเมื่อเร็ว ๆ นี้ซึ่งมีชื่อว่า FlexStarling

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หรือที่รู้จักในชื่อ Starry Addax กำลังติดตามภัยคุกคามนี้อย่างแข็งขัน โดยมุ่งเป้าไปที่นักเคลื่อนไหวที่เชื่อมโยงกับสาธารณรัฐประชาธิปไตยอาหรับซาห์ราวี (SADR)

Starry Addax ดำเนินการผ่านโครงสร้างพื้นฐานที่เกี่ยวข้องกับสองเว็บไซต์ ได้แก่ ondroid.site และ ondroid.store ซึ่งมุ่งเป้าไปที่ผู้ใช้ทั้ง Android และ Windows สำหรับผู้ใช้ Windows ผู้โจมตีจะตั้งค่าเว็บไซต์ปลอมที่มีลักษณะคล้ายกับแพลตฟอร์มโซเชียลมีเดียยอดนิยมเพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบ

Starry Addax ดูเหมือนจะปรับแต่งแนวทางตามเหยื่อที่เป็นเป้าหมาย

ดูเหมือนว่าผู้คุกคาม Starry Addax กำลังตั้งค่าโครงสร้างพื้นฐานของตัวเอง โฮสต์เพจที่ออกแบบมาเพื่อเก็บเกี่ยวข้อมูลประจำตัว รวมถึงหน้าเข้าสู่ระบบปลอมสำหรับสื่อและบริการอีเมลที่ใช้กันอย่างแพร่หลายทั่วโลก

ศัตรูรายนี้ซึ่งต้องสงสัยว่าเปิดใช้งานมาตั้งแต่เดือนมกราคม 2024 ใช้อีเมลฟิชชิ่งแบบหอกเพื่อกำหนดเป้าหมายไปยังบุคคลต่างๆ โดยสนับสนุนให้พวกเขาดาวน์โหลดแอปพลิเคชันมือถือของ Sahara Press Service หรือตัวล่อที่เกี่ยวข้องที่เกี่ยวข้องกับภูมิภาค

เมื่อวิเคราะห์ระบบปฏิบัติการของอุปกรณ์ที่ร้องขอ เหยื่อจะถูกนำทางให้ดาวน์โหลด APK หลอกลวงที่ปลอมแปลงเป็นแอปพลิเคชัน Sahara Press Service หรือเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบโซเชียลมีเดียปลอม ซึ่งเป็นที่เก็บข้อมูลประจำตัวของพวกเขา

FlexStarling ปรากฏตัวบนแนวหน้ามัลแวร์ Android

FlexStarling มัลแวร์ Android ที่เพิ่งค้นพบ มีความสามารถรอบด้านและได้รับการออกแบบมาเพื่อปรับใช้ส่วนประกอบที่เป็นอันตรายเพิ่มเติมในขณะเดียวกันก็ดึงข้อมูลที่ละเอียดอ่อนออกจากอุปกรณ์ที่ถูกบุกรุกอย่างลับๆ

เมื่อทำการติดตั้ง FlexStarling จะแจ้งให้ผู้ใช้ให้สิทธิ์ที่ครอบคลุม ทำให้มัลแวร์สามารถดำเนินกิจกรรมที่ไม่ปลอดภัยได้หลายอย่าง สามารถรับคำสั่งจากเซิร์ฟเวอร์ Command-and-Control (C2) ที่ใช้ Firebase ซึ่งบ่งชี้ถึงความพยายามโดยเจตนาของผู้แสดงภัยคุกคามในการหลบเลี่ยงการตรวจจับ

แคมเปญดังกล่าว โดยเฉพาะอย่างยิ่งการกำหนดเป้าหมายไปที่บุคคลที่มีชื่อเสียง โดยทั่วไปมีเป้าหมายที่จะไม่ถูกตรวจพบบนอุปกรณ์เป็นระยะเวลานาน

ทุกแง่มุมของมัลแวร์นี้ ตั้งแต่ส่วนประกอบไปจนถึงโครงสร้างพื้นฐานในการดำเนินงาน ดูเหมือนจะได้รับการปรับแต่งสำหรับแคมเปญเฉพาะนี้ โดยเน้นย้ำถึงการเน้นย้ำถึงการลักลอบและการดำเนินการแอบแฝง

Starry Addax อาจกำลังสร้างคลังเครื่องมือมัลแวร์แบบกำหนดเอง

การค้นพบล่าสุดเผยให้เห็นการพัฒนาที่น่าสนใจ: Starry Addax ได้เลือกที่จะสร้างเครื่องมือและโครงสร้างพื้นฐานของตัวเองเพื่อกำหนดเป้าหมายนักเคลื่อนไหวด้านสิทธิมนุษยชน แทนที่จะอาศัยมัลแวร์ที่สร้างไว้ล่วงหน้าหรือสปายแวร์ที่มีจำหน่ายในท้องตลาด

แม้ว่าการโจมตียังอยู่ในขั้นเริ่มต้นปฏิบัติการ แต่ Starry Addax ก็ถือว่าโครงสร้างพื้นฐานที่รองรับและมัลแวร์ที่เรียกว่า FlexStarling ได้รับการพัฒนาเพียงพอที่จะเริ่มต้นการกำหนดเป้าหมายของนักเคลื่อนไหวด้านสิทธิมนุษยชนในแอฟริกาเหนือ

ลำดับเวลาของเหตุการณ์ ซึ่งรวมถึงการจัดตั้งจุดรับส่ง ศูนย์บัญชาการและควบคุม (C2) และการพัฒนามัลแวร์ตั้งแต่ต้นเดือนมกราคม 2567 แสดงให้เห็นว่า Starry Addax กำลังสร้างโครงสร้างพื้นฐานอย่างรวดเร็วเพื่อกำหนดเป้าหมายบุคคลที่มีชื่อเสียงสูงและพร้อมแล้ว เพื่อเพิ่มแรงผลักดันในการดำเนินธุรกิจ