Mobile Malware FlexStarling zielt auf spezialisierte Opfer in Afrika ab
Menschenrechtsaktivisten in Marokko und der Region Westsahara sehen sich einer neuen Bedrohung durch böswillige Akteure gegenüber, die Phishing-Taktiken anwenden, um ihre Opfer dazu zu verleiten, gefälschte Android-Anwendungen herunterzuladen und auf irreführende Webseiten zuzugreifen, um so die Anmeldeinformationen von Windows-Benutzern zu stehlen.
Cisco Talos hat diese Bedrohungskampagne als Starry Addax identifiziert, die sich in erster Linie gegen Aktivisten richtet, die mit der Demokratischen Arabischen Republik Sahara (SADR) in Verbindung stehen. Die von Starry Addax genutzte Infrastruktur, nämlich ondroid[.]site und ondroid[.]store, ist darauf ausgelegt, sowohl Android- als auch Windows-Benutzer auszunutzen. Für Windows-Benutzer richten die Angreifer gefälschte Websites ein, die beliebten Social-Media-Plattformen ähneln, um Einzelpersonen dazu zu verleiten, ihre Anmeldedaten preiszugeben.
Obwohl aufgrund laufender Ermittlungen noch nicht bekannt gegeben werden kann, auf welche konkreten Websites sich diese Angriffe zum Diebstahl von Anmeldeinformationen beziehen, hat Talos bekannt gegeben, dass die Bedrohungsakteure eine eigene Infrastruktur aufbauen, um gefälschte Anmeldeseiten für weit verbreitete Medien- und E-Mail-Dienste zu hosten.
Profilierung des Unternehmens hinter FlexStarling
Der seit Januar 2024 aktive Angreifer verwendet Spear-Phishing-E-Mails, um Opfer dazu zu verleiten, die scheinbar mobile App des Sahara Press Service oder eine ähnliche Lockvogel-App zu installieren. Je nach Betriebssystem wird den Opfern entweder eine bösartige APK präsentiert, die sich als App des Sahara Press Service tarnt, oder sie werden auf eine gefälschte Social-Media-Anmeldeseite umgeleitet, um ihre Anmeldeinformationen abzugreifen.
Die neu identifizierte Android-Malware FlexStarling ist vielschichtig und kann zusätzliche Malware-Komponenten einsetzen und sensible Daten von infizierten Geräten extrahieren. Nach der Installation fordert FlexStarling umfangreiche Berechtigungen an, die es ihm ermöglichen, verschiedene bösartige Aktivitäten auszuführen, darunter den Empfang von Befehlen von einem Firebase-basierten Command-and-Control-Server (C2), eine Taktik, die verwendet wird, um der Erkennung zu entgehen.
Talos warnt, dass Kampagnen wie diese, die sich an prominente Personen richten, oft darauf abzielen, über längere Zeiträume auf Geräten unentdeckt zu bleiben.
