FlexStarling モバイル マルウェアはアフリカの特定の被害者をターゲットに
モロッコと西サハラ地域の人権活動家は、フィッシングの手法を使って被害者を騙し、偽の Android アプリケーションをダウンロードさせたり、偽の Web ページにアクセスさせて Windows ユーザーのログイン認証情報を盗んだりする悪意のある行為者からの新たな脅威に直面しています。
Cisco Talos は、この脅威キャンペーンを Starry Addax と特定しました。これは主に、サハラ・アラブ民主共和国 (SADR) に関連する活動家をターゲットにしています。Starry Addax が使用するインフラストラクチャ、つまり ondroid[.]site と ondroid[.]store は、Android ユーザーと Windows ユーザーの両方を攻撃するようにカスタマイズされています。Windows ユーザーの場合、攻撃者は人気のソーシャル メディア プラットフォームに似た偽の Web サイトを設定し、ユーザーを騙してログイン情報を漏らさせます。
調査が進行中のため、これらの認証情報窃取攻撃の標的となった特定の Web サイトを公開することはできませんが、Talos は、脅威の攻撃者が、広く使用されているメディアや電子メール サービスの偽のログイン ページをホストするための独自のインフラストラクチャを作成していることを明らかにしました。
FlexStarling の背後にあるエンティティのプロファイリング
2024 年 1 月から活動しているこの攻撃者は、スピアフィッシング メールを使用して、サハラ プレス サービスのモバイル アプリまたは関連するおとりアプリのように見えるアプリをターゲットにインストールするよう誘導します。オペレーティング システムに応じて、被害者にはサハラ プレス サービスのアプリを装った悪意のある APK が表示されるか、偽のソーシャル メディア ログイン ページにリダイレクトされて認証情報が収集されます。
新たに特定された Android マルウェア FlexStarling は多面的な機能を持ち、追加のマルウェア コンポーネントを展開したり、感染したデバイスから機密データを抽出したりすることができます。インストールされると、FlexStarling は広範な権限を要求し、Firebase ベースのコマンド アンド コントロール (C2) サーバーからのコマンドの受信など、さまざまな悪意のあるアクティビティを実行できるようになります。これは検出を回避するための戦術です。
Talos は、今回のような著名人をターゲットにした攻撃キャンペーンは、多くの場合、長期間デバイス上で検出されないままでいることを目的としていると警告しています。