El malware móvil FlexStarling se dirige a víctimas especializadas en África

Los activistas de derechos humanos en Marruecos y la región del Sahara Occidental enfrentan una nueva amenaza de actores maliciosos que utilizan tácticas de phishing para engañar a las víctimas para que descarguen aplicaciones falsas de Android y accedan a páginas web engañosas para robar credenciales de inicio de sesión de usuarios de Windows.

Cisco Talos ha identificado esta campaña de amenazas como Starry Addax, que apunta principalmente a activistas asociados con la República Árabe Saharaui Democrática (RASD). La infraestructura utilizada por Starry Addax, concretamente ondroid[.]site y ondroid[.]store, está diseñada para explotar tanto a los usuarios de Android como de Windows. Para los usuarios de Windows, los atacantes crearon sitios web falsos que se asemejan a plataformas de redes sociales populares para engañar a las personas para que revelen sus datos de inicio de sesión.

Aunque los sitios web específicos objetivo de estos ataques de robo de credenciales no pueden ser revelados debido a las investigaciones en curso, Talos reveló que los actores de la amenaza están creando su propia infraestructura para alojar páginas de inicio de sesión falsificadas para medios y servicios de correo electrónico ampliamente utilizados.

Perfil de la entidad detrás de FlexStarling

El adversario, activo desde enero de 2024, emplea correos electrónicos de phishing para incitar a los objetivos a instalar lo que parece ser la aplicación móvil del Sahara Press Service o una aplicación señuelo relacionada. Dependiendo del sistema operativo, a las víctimas se les presenta un APK malicioso que se hace pasar por la aplicación Sahara Press Service o se les redirige a una página de inicio de sesión de redes sociales falsa para recopilar sus credenciales.

El malware para Android recientemente identificado, FlexStarling, es multifacético y capaz de implementar componentes de malware adicionales y extraer datos confidenciales de dispositivos infectados. Una vez instalado, FlexStarling solicita amplios permisos, lo que le permite llevar a cabo diversas actividades maliciosas, incluida la recepción de comandos de un servidor de comando y control (C2) basado en Firebase, una táctica utilizada para evadir la detección.

Talos advierte que las campañas dirigidas a personas de alto perfil como ésta a menudo pretenden pasar desapercibidas en los dispositivos durante períodos prolongados.