Зловмисне програмне забезпечення для мобільних пристроїв FlexStarling
Правозахисники в Марокко та Західній Сахарі зіткнулися з новою загрозою з боку кібер-зловмисників, які використовують методи фішингу, щоб обманом змусити жертв встановити підроблені додатки для Android і представити фальшиві сторінки входу для отримання облікових даних користувачів Windows. Ця шкідлива кампанія обертається навколо нещодавно ідентифікованого зловмисного програмного забезпечення Android під назвою FlexStarling.
Експерти з кібербезпеки, також відомі як Starry Addax, активно відстежують цю загрозу, яка спрямована особливо на активістів, пов’язаних із Сахарською Арабською Демократичною Республікою (SADR).
Starry Addax працює через інфраструктуру, що включає два веб-сайти – ondroid.site і ondroid.store, орієнтовані як на користувачів Android, так і на Windows. Для користувачів Windows зловмисники створюють підроблені веб-сайти, схожі на популярні платформи соціальних мереж, щоб викрасти облікові дані для входу.
Зміст
Здається, Starry Addax адаптує свій підхід відповідно до цільових жертв
Схоже, що загроза Starry Addax налаштовує власну інфраструктуру, розміщуючи сторінки, призначені для збору облікових даних, включаючи підроблені сторінки входу для широко використовуваних медіа та служб електронної пошти по всьому світу.
Цей ворог, який, як підозрюють, був активним із січня 2024 року, використовує фішингові електронні листи, щоб націлити на окремих осіб, заохочуючи їх завантажити або мобільний додаток прес-служби Сахари, або пов’язану приманку, актуальну для регіону.
Після аналізу операційної системи пристрою, який надсилає запит, жертві пропонується або завантажити шахрайський файл APK, який видається за програму Sahara Press Service, або перенаправляється на підроблену сторінку входу в соціальну мережу, де збираються її облікові дані.
FlexStarling виходить на фронт шкідливих програм для Android
Нещодавно відкрите зловмисне програмне забезпечення Android, FlexStarling, може похвалитися універсальністю та розроблено для розгортання додаткових шкідливих компонентів під час таємного вилучення конфіденційної інформації зі зламаних пристроїв.
Після встановлення FlexStarling пропонує користувачеві надати широкі дозволи, дозволяючи зловмисному програмному забезпеченню виконувати низку небезпечних дій. Він може отримувати команди від сервера командування та керування (C2) на основі Firebase, що вказує на навмисне намагання суб’єкта загрози уникнути виявлення.
Такі кампанії, особливо ті, що націлені на високопоставлених осіб, зазвичай спрямовані на те, щоб залишатися непоміченими на пристрої протягом тривалого часу.
Кожен аспект цього зловмисного програмного забезпечення, від його компонентів до операційної інфраструктури, здається спеціально створеним для цієї конкретної кампанії, підкреслюючи сильний акцент на скритності та проведенні таємних операцій.
Starry Addax, можливо, створює арсенал власних інструментів шкідливого ПЗ
Останні відкриття показують інтригуючу подію: Starry Addax вирішила створити власний набір інструментів та інфраструктури для боротьби з правозахисними активістами, а не покладатися на готове шкідливе або комерційно доступне шпигунське програмне забезпечення.
Хоча атаки все ще перебувають на початковій стадії, Starry Addax вважає допоміжну інфраструктуру та зловмисне програмне забезпечення, відоме як FlexStarling, достатньо розвиненим, щоб ініціювати напади на правозахисників у Північній Африці.
Хронологія подій, у тому числі встановлення точок викиду, центрів командування та контролю (C2) і розробка зловмисного програмного забезпечення з початку січня 2024 року, свідчить про те, що Starry Addax швидко будує свою інфраструктуру для націлювання на високопоставлених осіб і готова набрати обертів у своїй діяльності.
