FlexStarling Mobile Malware

摩洛哥和西撒哈拉地区的人权捍卫者面临网络攻击者的新威胁，他们使用网络钓鱼技术诱骗受害者安装虚假的 Android 应用程序并提供虚假的登录页面以窃取 Windows 用户的凭据。这一有害活动围绕最近发现的名为 FlexStarling 的 Android 恶意软件展开。

网络安全专家正在积极监控这一威胁，该威胁又被称为“Starry Addax”，它专门针对与撒哈拉阿拉伯民主共和国 (SADR) 有联系的活动人士。

Starry Addax 通过涉及两个网站（ondroid.site 和 ondroid.store）的基础设施进行运营，这两个网站面向 Android 和 Windows 用户。对于 Windows 用户，攻击者会设置类似于流行社交媒体平台的假冒网站来窃取登录凭据。

Starry Addax 似乎根据目标受害者调整其攻击方式

Starry Addax 威胁行为者似乎正在建立自己的基础设施，托管旨在获取凭证的页面，包括全球广泛使用的媒体和电子邮件服务的伪造登录页面。

该对手疑似自 2024 年 1 月以来一直活跃，使用鱼叉式网络钓鱼电子邮件攻击个人，鼓励他们下载 Sahara Press Service 的移动应用程序或与该地区相关的相关诱饵。

在分析请求设备的操作系统后，受害者会被引导下载冒充 Sahara Press Service 应用程序的欺诈性 APK，或重定向到虚假的社交媒体登录页面，从而获取其凭证。

FlexStarling 出现在 Android 恶意软件前线

新发现的 Android 恶意软件 FlexStarling 具有多功能性，旨在部署其他恶意组件，同时从受感染设备中秘密提取敏感信息。

安装后，FlexStarling 会提示用户授予大量权限，从而使恶意软件能够执行一系列不安全的活动。它可以从基于 Firebase 的命令和控制 (C2) 服务器接收命令，这表明威胁行为者故意逃避检测。

此类活动，尤其是针对知名人士的活动，通常旨在长时间不被发现。

这种恶意软件的每个方面，从其组件到操作基础设施，似乎都是为这一特定活动量身定制的，突显了对隐身性和开展秘密行动的高度重视。

Starry Addax 可能正在构建自定义恶意软件工具库

最新发现揭示了一个有趣的发展：Starry Addax 选择构建自己的一系列工具和基础设施来针对人权活动家，而不是依赖预制的恶意软件或市售的间谍软件。

尽管此次袭击仍处于早期行动阶段，但 Starry Addax 认为支持该袭击的基础设施和恶意软件（称为 FlexStarling）已足够成熟，可以开始针对北非的人权活动家进行攻击。

事件的时间线，包括建立投放点、指挥和控制 (C2) 中心以及自 2024 年 1 月初以来的恶意软件开发，表明 Starry Addax 正在迅速构建其基础设施以瞄准知名个人，并准备在其运营中获得动力。