Το FlexStarling Mobile Malware στοχεύει εξειδικευμένα θύματα στην Αφρική
Οι ακτιβιστές ανθρωπίνων δικαιωμάτων στο Μαρόκο και την περιοχή της Δυτικής Σαχάρας αντιμετωπίζουν μια νέα απειλή από κακόβουλους παράγοντες που χρησιμοποιούν τακτικές phishing για να εξαπατήσουν τα θύματα να κατεβάσουν ψεύτικες εφαρμογές Android και να αποκτήσουν πρόσβαση σε παραπλανητικές ιστοσελίδες για να κλέψουν διαπιστευτήρια σύνδεσης από χρήστες Windows.
Η Cisco Talos έχει αναγνωρίσει αυτήν την εκστρατεία απειλής ως Starry Addax, η οποία στοχεύει κυρίως ακτιβιστές που συνδέονται με την Αραβική Δημοκρατία της Σαχράουι (SADR). Η υποδομή που χρησιμοποιεί το Starry Addax, δηλαδή το ondroid[.]site και το ondroid[.]store, είναι προσαρμοσμένη για εκμετάλλευση τόσο των χρηστών Android όσο και των Windows. Για τους χρήστες των Windows, οι εισβολείς δημιούργησαν ψεύτικους ιστότοπους που μοιάζουν με δημοφιλείς πλατφόρμες μέσων κοινωνικής δικτύωσης για να εξαπατήσουν άτομα ώστε να αποκαλύψουν τα στοιχεία σύνδεσής τους.
Αν και συγκεκριμένοι ιστότοποι που στοχοποιούνται από αυτές τις επιθέσεις κλοπής διαπιστευτηρίων δεν μπορούν να αποκαλυφθούν λόγω συνεχιζόμενων ερευνών, ο Talos αποκάλυψε ότι οι φορείς απειλών δημιουργούν τη δική τους υποδομή για να φιλοξενούν πλαστές σελίδες σύνδεσης για ευρέως χρησιμοποιούμενα μέσα και υπηρεσίες email.
Προφίλ της οντότητας πίσω από το FlexStarling
Ο αντίπαλος, που δραστηριοποιείται από τον Ιανουάριο του 2024, χρησιμοποιεί ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) για να δελεάσει τους στόχους να εγκαταστήσουν αυτό που φαίνεται να είναι η εφαρμογή για κινητά της Υπηρεσίας Τύπου της Σαχάρας ή μια σχετική εφαρμογή παραπλάνησης. Ανάλογα με το λειτουργικό σύστημα, τα θύματα είτε παρουσιάζονται με ένα κακόβουλο APK που μεταμφιέζεται στην εφαρμογή Sahara Press Service είτε ανακατευθύνονται σε μια ψεύτικη σελίδα σύνδεσης στα μέσα κοινωνικής δικτύωσης για να συλλέξουν τα διαπιστευτήριά τους.
Το πρόσφατα εντοπισμένο κακόβουλο λογισμικό Android, το FlexStarling, είναι πολύπλευρο και ικανό να αναπτύξει πρόσθετα στοιχεία κακόβουλου λογισμικού και να εξάγει ευαίσθητα δεδομένα από μολυσμένες συσκευές. Μόλις εγκατασταθεί, το FlexStarling ζητά εκτεταμένες άδειες, επιτρέποντάς του να εκτελεί διάφορες κακόβουλες δραστηριότητες, συμπεριλαμβανομένης της λήψης εντολών από έναν διακομιστή εντολών και ελέγχου (C2) που βασίζεται στο Firebase, μια τακτική που χρησιμοποιείται για την αποφυγή εντοπισμού.
Η Talos προειδοποιεί ότι οι καμπάνιες που στοχεύουν άτομα υψηλού προφίλ όπως αυτή συχνά στοχεύουν να παραμείνουν απαρατήρητες σε συσκευές για εκτεταμένες περιόδους.