FlexStarling Mobile Malware retter sig mod specialiserede ofre i Afrika

Menneskerettighedsaktivister i Marokko og Vestsahara-regionen står over for en ny trussel fra ondsindede aktører, der bruger phishing-taktik til at bedrage ofre til at downloade falske Android-applikationer og få adgang til vildledende websider for at stjæle loginoplysninger fra Windows-brugere.

Cisco Talos har identificeret denne trusselkampagne som Starry Addax, der primært er rettet mod aktivister med tilknytning til Den Saharawi Arabiske Demokratiske Republik (SADR). Infrastrukturen, som Starry Addax bruger, nemlig ondroid[.]site og ondroid[.]store, er skræddersyet til at udnytte både Android- og Windows-brugere. For Windows-brugere oprettede angriberne falske websteder, der ligner populære sociale medieplatforme, for at narre enkeltpersoner til at afsløre deres loginoplysninger.

Selvom specifikke websteder, der er rettet mod disse legitimations-tyveriangreb, ikke kan afsløres på grund af igangværende undersøgelser, afslørede Talos, at trusselsaktørerne er ved at skabe deres egen infrastruktur til at være vært for falske login-sider til udbredte medie- og e-mail-tjenester.

Profilering af enheden bag FlexStarling

Modstanderen, der har været aktiv siden januar 2024, bruger spear-phishing-e-mails for at lokke mål til at installere, hvad der ser ud til at være Sahara Press Services mobilapp eller en relateret lokkeapp. Afhængigt af operativsystemet bliver ofrene enten præsenteret for en ondsindet APK, der er maskeret som Sahara Press Service-appen eller omdirigeret til en falsk login-side på sociale medier for at hente deres legitimationsoplysninger.

Den nyligt identificerede Android-malware, FlexStarling, er mangefacetteret og i stand til at implementere yderligere malware-komponenter og udtrække følsomme data fra inficerede enheder. Når det er installeret, anmoder FlexStarling om omfattende tilladelser, hvilket gør det muligt for det at udføre forskellige ondsindede aktiviteter, herunder at modtage kommandoer fra en Firebase-baseret kommando-og-kontrol-server (C2), en taktik, der bruges til at undgå registrering.

Talos advarer om, at kampagner rettet mod højprofilerede personer som denne ofte sigter mod at forblive uopdaget på enheder i længere perioder.