Phần mềm độc hại di động FlexStarling
Những người bảo vệ nhân quyền ở Maroc và khu vực Tây Sahara phải đối mặt với mối đe dọa mới từ những kẻ tấn công mạng sử dụng kỹ thuật lừa đảo để lừa nạn nhân cài đặt các ứng dụng Android giả mạo và hiển thị các trang đăng nhập giả mạo để lấy thông tin đăng nhập từ người dùng Windows. Chiến dịch có hại này xoay quanh một phần mềm độc hại Android được xác định gần đây có tên là FlexStarling.
Còn được gọi là Starry Addax, các chuyên gia an ninh mạng đang tích cực theo dõi mối đe dọa này, đặc biệt nhắm vào các nhà hoạt động có liên hệ với Cộng hòa Dân chủ Ả Rập Sahrawi (SADR).
Starry Addax hoạt động thông qua cơ sở hạ tầng liên quan đến hai trang web - ondroid.site và ondroid.store, nhắm đến cả người dùng Android và Windows. Đối với người dùng Windows, những kẻ tấn công đã thiết lập các trang web giả mạo giống với các nền tảng truyền thông xã hội phổ biến để đánh cắp thông tin đăng nhập.
Mục lục
Starry Addax xuất hiện để điều chỉnh cách tiếp cận của nó theo các nạn nhân được nhắm mục tiêu
Kẻ đe dọa Starry Addax dường như đang thiết lập cơ sở hạ tầng của riêng mình, lưu trữ các trang được thiết kế để thu thập thông tin xác thực, bao gồm các trang đăng nhập giả mạo cho các dịch vụ email và phương tiện truyền thông được sử dụng rộng rãi trên toàn thế giới.
Kẻ thù này, bị nghi ngờ đã hoạt động từ tháng 1 năm 2024, sử dụng các email lừa đảo trực tuyến để nhắm mục tiêu vào các cá nhân, khuyến khích họ tải xuống ứng dụng di động của Dịch vụ báo chí Sahara hoặc một mồi nhử có liên quan đến khu vực.
Khi phân tích hệ điều hành của thiết bị yêu cầu, nạn nhân được hướng dẫn tải xuống APK lừa đảo giả dạng ứng dụng Dịch vụ báo chí Sahara hoặc được chuyển hướng đến một trang đăng nhập mạng xã hội giả mạo, nơi thu thập thông tin xác thực của họ.
FlexStarling xuất hiện trên mặt trận phần mềm độc hại Android
Phần mềm độc hại Android mới được phát hiện, FlexStarling, có tính linh hoạt và được thiết kế để triển khai các thành phần độc hại bổ sung đồng thời bí mật trích xuất thông tin nhạy cảm từ các thiết bị bị xâm nhập.
Sau khi cài đặt, FlexStarling sẽ nhắc người dùng cấp các quyền mở rộng, cho phép phần mềm độc hại thực hiện một loạt hoạt động không an toàn. Nó có thể nhận lệnh từ máy chủ Chỉ huy và Kiểm soát (C2) dựa trên Firebase, cho thấy nỗ lực có chủ ý của tác nhân đe dọa nhằm trốn tránh sự phát hiện.
Những chiến dịch như vậy, đặc biệt là những chiến dịch nhắm mục tiêu đến các cá nhân nổi tiếng, thường nhằm mục đích không bị phát hiện trên thiết bị trong thời gian dài.
Mọi khía cạnh của phần mềm độc hại này, từ các thành phần đến cơ sở hạ tầng hoạt động, dường như đều được thiết kế riêng cho chiến dịch cụ thể này, nhấn mạnh vào việc lén lút và tiến hành các hoạt động bí mật.
The Starry Addax có thể đang xây dựng một kho công cụ phần mềm độc hại tùy chỉnh
Những khám phá mới nhất tiết lộ một sự phát triển hấp dẫn: Starry Addax đã chọn xây dựng một loạt công cụ và cơ sở hạ tầng của riêng mình để nhắm mục tiêu vào các nhà hoạt động nhân quyền thay vì dựa vào phần mềm độc hại được tạo sẵn hoặc phần mềm gián điệp có sẵn trên thị trường.
Mặc dù các cuộc tấn công vẫn đang ở giai đoạn hoạt động ban đầu, Starry Addax đã coi cơ sở hạ tầng hỗ trợ và phần mềm độc hại, được gọi là FlexStarling, đã phát triển đủ để bắt đầu nhắm mục tiêu vào các nhà hoạt động nhân quyền ở Bắc Phi.
Dòng thời gian của các sự kiện, bao gồm việc thiết lập các điểm thả, trung tâm Chỉ huy và Kiểm soát (C2) và phát triển phần mềm độc hại kể từ đầu tháng 1 năm 2024, cho thấy Starry Addax đang nhanh chóng xây dựng cơ sở hạ tầng của mình để nhắm mục tiêu vào các cá nhân cấp cao và đã sẵn sàng. để có động lực trong hoạt động của mình.
