Il malware mobile FlexStarling prende di mira vittime specializzate in Africa
Gli attivisti per i diritti umani in Marocco e nella regione del Sahara occidentale si trovano ad affrontare una nuova minaccia da parte di malintenzionati che utilizzano tattiche di phishing per indurre le vittime a scaricare false applicazioni Android e ad accedere a pagine Web ingannevoli per rubare le credenziali di accesso degli utenti Windows.
Cisco Talos ha identificato questa campagna di minaccia come Starry Addax, che prende di mira principalmente gli attivisti associati alla Repubblica Araba Democratica Saharawi (SADR). L'infrastruttura utilizzata da Starry Addax, vale a dire ondroid[.]site e ondroid[.]store, è adattata per sfruttare sia gli utenti Android che quelli Windows. Per gli utenti Windows, gli aggressori hanno creato siti Web falsi che ricordano le popolari piattaforme di social media per indurre le persone a divulgare i propri dati di accesso.
Sebbene i siti Web specifici presi di mira da questi attacchi di furto di credenziali non possano essere divulgati a causa delle indagini in corso, Talos ha rivelato che gli autori delle minacce stanno creando la propria infrastruttura per ospitare pagine di accesso contraffatte per media e servizi di posta elettronica ampiamente utilizzati.
Profilazione dell'entità dietro FlexStarling
L'avversario, attivo da gennaio 2024, utilizza e-mail di spear phishing per indurre gli obiettivi a installare quella che sembra essere l'app mobile del Sahara Press Service o un'app esca correlata. A seconda del sistema operativo, alle vittime viene presentato un APK dannoso mascherato da app Sahara Press Service oppure vengono reindirizzate a una falsa pagina di accesso ai social media per raccogliere le proprie credenziali.
Il malware Android appena identificato, FlexStarling, è multiforme ed è in grado di distribuire componenti malware aggiuntivi ed estrarre dati sensibili dai dispositivi infetti. Una volta installato, FlexStarling richiede autorizzazioni estese, che gli consentono di svolgere varie attività dannose, inclusa la ricezione di comandi da un server di comando e controllo (C2) basato su Firebase, una tattica utilizzata per eludere il rilevamento.
Talos avverte che le campagne rivolte a individui di alto profilo come questo spesso mirano a non essere rilevate sui dispositivi per periodi prolungati.
