FlexStarling Mobil Kötü Amaçlı Yazılım
Fas ve Batı Sahra bölgesindeki insan hakları savunucuları, kurbanları sahte Android uygulamaları yüklemeye ve Windows kullanıcılarının kimlik bilgilerini toplamak için sahte oturum açma sayfaları sunmaya yönlendiren kimlik avı teknikleri kullanan siber saldırganlardan kaynaklanan yeni bir tehditle karşı karşıya. Bu zararlı kampanya, yakın zamanda tanımlanan FlexStarling adlı Android kötü amaçlı yazılımı etrafında dönüyor.
Starry Addax olarak da bilinen siber güvenlik uzmanları, özellikle Sahra Arap Demokratik Cumhuriyeti (SADR) ile bağlantılı aktivistleri hedef alan bu tehdidi aktif olarak izliyor.
Starry Addax, hem Android hem de Windows kullanıcılarını hedefleyen ondroid.site ve ondroid.store olmak üzere iki web sitesini içeren altyapı üzerinden çalışır. Saldırganlar, Windows kullanıcıları için oturum açma kimlik bilgilerini çalmak amacıyla popüler sosyal medya platformlarına benzeyen sahte web siteleri kuruyor.
İçindekiler
Starry Addax Yaklaşımını Hedeflenen Mağdurlara Göre Uyarlıyor Görünüyor
Starry Addax tehdit aktörü, dünya çapında yaygın olarak kullanılan medya ve e-posta hizmetleri için sahte oturum açma sayfaları da dahil olmak üzere, kimlik bilgilerini toplamak için tasarlanmış sayfaları barındırarak kendi altyapısını kuruyor gibi görünüyor.
Ocak 2024'ten bu yana aktif olduğundan şüphelenilen bu saldırgan, bireyleri hedef almak için hedef odaklı kimlik avı e-postaları kullanıyor ve onları Sahara Basın Servisi'nin mobil uygulamasını veya bölgeyle ilgili ilgili bir tuzağı indirmeye teşvik ediyor.
Talepte bulunan cihazın işletim sistemi analiz edildikten sonra kurban ya Sahara Press Service uygulaması gibi görünen sahte bir APK indirmeye yönlendiriliyor ya da kimlik bilgilerinin toplandığı sahte bir sosyal medya giriş sayfasına yönlendiriliyor.
FlexStarling Android Kötü Amaçlı Yazılım Cephesinde Ortaya Çıkıyor
Yeni keşfedilen Android kötü amaçlı yazılımı FlexStarling, çok yönlülüğüyle öne çıkıyor ve güvenliği ihlal edilmiş cihazlardan hassas bilgileri gizlice çıkarırken ek kötü amaçlı bileşenler dağıtmak üzere tasarlandı.
Kurulumun ardından FlexStarling, kullanıcıdan kapsamlı izinler vermesini ister ve bu da kötü amaçlı yazılımın bir dizi güvenli olmayan etkinlik yürütmesine olanak tanır. Firebase tabanlı bir Komuta ve Kontrol (C2) sunucusundan komutlar alabilir, bu da tehdit aktörünün tespitten kaçınmak için kasıtlı bir çaba gösterdiğini gösterir.
Bu tür kampanyalar, özellikle de yüksek profilli kişileri hedef alan kampanyalar, genellikle cihazda uzun süre fark edilmeden kalmayı amaçlıyor.
Bu kötü amaçlı yazılımın, bileşenlerinden operasyonel altyapıya kadar her yönü, bu özel kampanya için özel olarak tasarlanmış gibi görünüyor ve gizlilik ve gizli operasyonlar yürütmeye güçlü bir vurgu yapıyor.
Yıldızlı Addax, Özel Kötü Amaçlı Yazılım Araçlarından oluşan bir Cephanelik Oluşturuyor Olabilir
Son keşifler ilgi çekici bir gelişmeyi ortaya koyuyor: Starry Addax, önceden hazırlanmış kötü amaçlı yazılımlara veya piyasada satılan casus yazılımlara güvenmek yerine, insan hakları aktivistlerini hedef almak için kendi araç ve altyapı dizisini oluşturmayı seçti.
Saldırılar hâlâ ilk operasyonel aşamalarında olmasına rağmen Starry Addax, FlexStarling olarak bilinen destekleyici altyapının ve kötü amaçlı yazılımın Kuzey Afrika'daki insan hakları aktivistlerini hedef almaya yetecek kadar gelişmiş olduğunu değerlendirdi.
Bırakma noktalarının oluşturulması, Komuta ve Kontrol (C2) merkezleri ve Ocak 2024'ün başından bu yana kötü amaçlı yazılımların geliştirilmesi de dahil olmak üzere olayların zaman çizelgesi, Starry Addax'ın yüksek profilli bireyleri hedef almak için altyapısını hızla oluşturduğunu ve hazırlıklı olduğunu gösteriyor operasyonlarına ivme kazandıracak.
