FlexStarling Mobile Malware
摩洛哥和西撒哈拉地區的人權捍衛者面臨著來自網路攻擊者的新威脅,這些攻擊者利用網路釣魚技術欺騙受害者安裝虛假 Android 應用程式並提供虛假登入頁面以獲取 Windows 用戶的憑證。這項有害活動圍繞著最近發現的名為 FlexStarling 的 Android 惡意軟體。
網路安全專家也被稱為 Starry Addax,正在積極監控這一威脅,該威脅專門針對與阿拉伯撒哈拉民主共和國 (SADR) 有關的活動分子。
Starry Addax 透過涉及兩個網站(ondroid.site 和 ondroid.store)的基礎設施運營,面向 Android 和 Windows 用戶。對於 Windows 用戶,攻擊者會建立類似流行社群媒體平台的偽造網站來竊取登入憑證。
目錄
Starry Addax 似乎會根據目標受害者調整其方法
Starry Addax 威脅參與者似乎正在建立自己的基礎設施,託管旨在獲取憑證的頁面,包括全球廣泛使用的媒體和電子郵件服務的偽造登錄頁面。
該對手疑似自 2024 年 1 月以來一直活躍,利用魚叉式網路釣魚電子郵件來針對個人,鼓勵他們下載撒哈拉新聞服務的行動應用程式或與該地區相關的誘餌。
在分析請求裝置的作業系統後,受害者會被引導下載冒充撒哈拉新聞服務應用程式的詐騙 APK,或重定向到虛假的社群媒體登入頁面,並在其中取得其憑證。
FlexStarling 出現在 Android 惡意軟體前沿
新發現的 Android 惡意軟體 FlexStarling 具有多功能性,旨在部署額外的惡意元件,同時從受感染的裝置中秘密提取敏感資訊。
安裝後,FlexStarling 會提示使用者授予廣泛的權限,從而使惡意軟體能夠執行一系列不安全的活動。它可以從基於 Firebase 的命令與控制 (C2) 伺服器接收命令,這表示威脅行為者故意逃避偵測。
此類活動,特別是針對知名人士的活動,通常旨在長時間在設備上保持不被發現。
該惡意軟體的每個方面,從其組件到操作基礎設施,似乎都是針對此特定活動量身定制的,凸顯了對隱身和進行秘密操作的高度重視。
明星 Addax 可能正在建立自訂惡意軟體工具庫
最新發現揭示了一個有趣的發展:Starry Addax 選擇建立自己的一系列工具和基礎設施來針對人權活動人士,而不是依賴預製的惡意軟體或商用間諜軟體。
儘管這些攻擊仍處於早期實施階段,但 Starry Addax 認為支援基礎設施和名為 FlexStarling 的惡意軟體已經足夠成熟,可以開始針對北非的人權活動人士。
事件的時間表,包括自 2024 年 1 月初以來設立投放點、指揮與控制 (C2) 中心以及惡意軟體的開發,表明 Starry Addax 正在迅速構建其基礎設施以針對知名人士,並做好了準備以獲得其營運動力。