FlexStarling Mobile Malware
Ang mga tagapagtanggol ng karapatang pantao sa Morocco at sa Western Sahara na lugar ay nahaharap sa isang bagong banta mula sa mga cyber attacker na gumagamit ng mga diskarte sa phishing upang linlangin ang mga biktima sa pag-install ng mga pekeng Android application at pagpapakita ng mga huwad na pahina sa pag-log in upang makakuha ng mga kredensyal mula sa mga user ng Windows. Ang mapaminsalang kampanyang ito ay umiikot sa isang kamakailang natukoy na Android malware na tinawag na FlexStarling.
Kilala rin bilang Starry Addax, aktibong sinusubaybayan ng mga eksperto sa cybersecurity ang banta na ito, na partikular na nagta-target sa mga aktibistang naka-link sa Sahrawi Arab Democratic Republic (SADR).
Gumagana ang Starry Addax sa pamamagitan ng imprastraktura na kinasasangkutan ng dalawang website - ondroid.site at ondroid.store, na nakatuon sa parehong mga user ng Android at Windows. Para sa mga gumagamit ng Windows, ang mga umaatake ay nag-set up ng mga pekeng website na kahawig ng mga sikat na platform ng social media upang magnakaw ng mga kredensyal sa pag-log in.
Talaan ng mga Nilalaman
Ang Starry Addax ay Nagpapakita sa Sagutan ng Diskarte Nito Ayon sa Mga Target na Biktima
Ang Starry Addax threat actor ay lumilitaw na nagse-set up ng sarili nitong imprastraktura, nagho-host ng mga page na idinisenyo para mag-ani ng mga kredensyal, kabilang ang mga pekeng login page para sa malawakang ginagamit na mga serbisyo ng media at email sa buong mundo.
Ang kalaban na ito, na pinaghihinalaang naging aktibo mula noong Enero 2024, ay gumagamit ng mga email ng spear-phishing upang i-target ang mga indibidwal, na hinihikayat silang i-download ang alinman sa mobile application ng Sahara Press Service o isang nauugnay na decoy na nauugnay sa rehiyon.
Sa pagsusuri sa operating system ng humihiling na device, ididirekta ang biktima na mag-download ng mapanlinlang na APK na nagpapanggap bilang application ng Sahara Press Service o i-redirect sa isang pekeng pahina ng pag-login sa social media, kung saan kinukuha ang kanilang mga kredensyal.
Lumilitaw ang FlexStarling sa Android Malware Front
Ipinagmamalaki ng bagong natuklasang Android malware, FlexStarling, ang versatility at idinisenyo upang mag-deploy ng karagdagang mga nakakahamak na bahagi habang lihim na kumukuha ng sensitibong impormasyon mula sa mga nakompromisong device.
Sa pag-install, ipo-prompt ng FlexStarling ang user na magbigay ng malawak na pahintulot, na nagbibigay-daan sa malware na magsagawa ng hanay ng mga hindi ligtas na aktibidad. Maaari itong makatanggap ng mga command mula sa isang Firebase-based na Command-and-Control (C2) server, na nagsasaad ng sinasadyang pagsisikap ng aktor ng banta upang maiwasan ang pagtuklas.
Ang mga naturang kampanya, lalo na ang mga nagta-target ng mga indibidwal na may mataas na profile, ay karaniwang naglalayong manatiling hindi natukoy sa device para sa isang pinahabang tagal.
Ang bawat aspeto ng malware na ito, mula sa mga bahagi nito hanggang sa imprastraktura ng pagpapatakbo, ay lumilitaw na ginawa para sa partikular na kampanyang ito, na nagha-highlight ng matinding diin sa pagnanakaw at pagsasagawa ng mga patagong operasyon.
Ang Starry Addax ay Maaaring Gumagawa ng Arsenal ng Mga Custom na Tool sa Malware
Ang mga pinakabagong tuklas ay nagpapakita ng nakakaintriga na pag-unlad: Pinili ng Starry Addax na bumuo ng sarili nitong hanay ng mga tool at imprastraktura para sa pag-target sa mga aktibista ng karapatang pantao sa halip na umasa sa pre-made na malware o spyware na available sa komersyo.
Bagama't ang mga pag-atake ay nasa kanilang maagang yugto ng pagpapatakbo, ang Starry Addax ay itinuring na ang pagsuporta sa imprastraktura at malware, na kilala bilang FlexStarling, ay sapat na binuo upang simulan ang pag-target sa mga aktibistang karapatang pantao sa North Africa.
Ang timeline ng mga kaganapan, kabilang ang pagtatatag ng mga drop point, Command-and-Control (C2) center, at ang pagbuo ng malware mula noong unang bahagi ng Enero 2024, ay nagmumungkahi na ang Starry Addax ay mabilis na nagtatayo ng imprastraktura nito upang i-target ang mga high-profile na indibidwal at handa na. upang makakuha ng momentum sa mga operasyon nito.
