Le logiciel malveillant FlexStarling Mobile cible des victimes spécialisées en Afrique

Les militants des droits humains au Maroc et dans la région du Sahara occidental sont confrontés à une nouvelle menace d'acteurs malveillants qui utilisent des tactiques de phishing pour inciter les victimes à télécharger de fausses applications Android et à accéder à des pages Web trompeuses pour voler les identifiants de connexion des utilisateurs Windows.

Cisco Talos a identifié cette campagne de menace comme étant Starry Addax, qui cible principalement les militants associés à la République arabe sahraouie démocratique (RASD). L'infrastructure utilisée par Starry Addax, à savoir ondroid[.]site et ondroid[.]store, est conçue pour exploiter à la fois les utilisateurs d'Android et de Windows. Pour les utilisateurs de Windows, les attaquants ont créé de faux sites Web ressemblant à des plateformes de médias sociaux populaires pour inciter les individus à divulguer leurs informations de connexion.

Bien que les sites Web spécifiques ciblés par ces attaques de vol d'identifiants ne puissent pas être divulgués en raison des enquêtes en cours, Talos a révélé que les acteurs de la menace créent leur propre infrastructure pour héberger des pages de connexion contrefaites pour des médias et des services de messagerie largement utilisés.

Profilage de l'entité derrière FlexStarling

L'adversaire, actif depuis janvier 2024, utilise des e-mails de spear phishing pour inciter ses cibles à installer ce qui semble être l'application mobile de Sahara Press Service ou une application leurre associée. Selon le système d'exploitation, les victimes se voient soit présenter un APK malveillant se faisant passer pour l'application Sahara Press Service, soit redirigées vers une fausse page de connexion sur les réseaux sociaux pour récupérer leurs informations d'identification.

Le malware Android nouvellement identifié, FlexStarling, présente de multiples facettes et est capable de déployer des composants malveillants supplémentaires et d'extraire des données sensibles des appareils infectés. Une fois installé, FlexStarling demande des autorisations étendues, lui permettant d'effectuer diverses activités malveillantes, notamment la réception de commandes d'un serveur de commande et de contrôle (C2) basé sur Firebase, une tactique utilisée pour échapper à la détection.

Talos prévient que les campagnes ciblant des personnalités de premier plan comme celle-ci visent souvent à ne pas être détectées sur les appareils pendant de longues périodes.