A FlexStarling Mobile Malware speciális áldozatokat céloz Afrikában
A marokkói és a nyugat-szaharai régió emberi jogi aktivistái új fenyegetéssel néznek szembe olyan rosszindulatú szereplőktől, akik adathalász taktikával csalják meg az áldozatokat, hogy hamis Android-alkalmazásokat töltsenek le, és megtévesztő weboldalakhoz férjenek hozzá, hogy ellopják a Windows-felhasználók bejelentkezési adatait.
A Cisco Talos Starry Addax néven azonosította ezt a fenyegető kampányt, amely elsősorban a Szaharai Arab Demokratikus Köztársasághoz (SADR) kötődő aktivistákat célozza meg. A Starry Addax által használt infrastruktúra, nevezetesen az ondroid[.]site és az ondroid[.]store, mind az Android, mind a Windows-felhasználók kihasználására lett kialakítva. A Windows-felhasználók számára a támadók hamis webhelyeket hoztak létre, amelyek népszerű közösségi médiaplatformokra emlékeztetnek, hogy rávegyék az egyéneket a bejelentkezési adataik nyilvánosságra hozatalára.
Bár a folyamatban lévő nyomozások miatt nem hozhatók nyilvánosságra a hitelesítő adatlopási támadások által megcélzott webhelyek, Talos felfedte, hogy a fenyegetés szereplői saját infrastruktúrát hoznak létre a széles körben használt média- és e-mail-szolgáltatások hamisított bejelentkezési oldalainak tárolására.
A FlexStarling mögötti entitás profilozása
A 2024 januárja óta aktív ellenfél lándzsás adathalász e-mailekkel csábítja a célpontokat a Sahara Press Service mobilalkalmazásának vagy egy kapcsolódó csali alkalmazásnak a telepítésére. Az operációs rendszertől függően az áldozatok vagy egy rosszindulatú APK-t jelenítenek meg, amely a Sahara Press Service alkalmazásnak álcázza magát, vagy átirányítják őket egy hamis közösségi média bejelentkezési oldalra, hogy begyűjtsék hitelesítő adataikat.
Az újonnan azonosított Android rosszindulatú program, a FlexStarling sokrétű, és képes további kártevő-összetevők telepítésére és érzékeny adatok kinyerésére a fertőzött eszközökről. A telepítést követően a FlexStarling kiterjedt engedélyeket kér, amelyek lehetővé teszik különféle rosszindulatú tevékenységek végrehajtását, beleértve a parancsok fogadását a Firebase-alapú parancs- és vezérlőkiszolgálótól (C2), amely az észlelés elkerülésére használt taktika.
A Talos arra figyelmeztet, hogy az olyan nagy horderejű személyeket célzó kampányok, mint a mostani, gyakran arra törekednek, hogy huzamosabb ideig észrevétlenül maradjanak az eszközökön.