FlexStarling Mobile Malware retter seg mot spesialiserte ofre i Afrika

Menneskerettighetsaktivister i Marokko og Vest-Sahara-regionen står overfor en ny trussel fra ondsinnede aktører som bruker phishing-taktikker for å lure ofre til å laste ned falske Android-applikasjoner og få tilgang til villedende nettsider for å stjele påloggingsinformasjon fra Windows-brukere.

Cisco Talos har identifisert denne trusselkampanjen som Starry Addax, som primært retter seg mot aktivister tilknyttet Den arabiske demokratiske republikken Sahara (SADR). Infrastrukturen som brukes av Starry Addax, nemlig ondroid[.]site og ondroid[.]store, er skreddersydd for å utnytte både Android- og Windows-brukere. For Windows-brukere satte angriperne opp falske nettsteder som ligner populære sosiale medieplattformer for å lure enkeltpersoner til å røpe påloggingsdetaljer.

Selv om spesifikke nettsteder målrettet av disse legitimasjonstyveri-angrepene ikke kan avsløres på grunn av pågående undersøkelser, avslørte Talos at trusselaktørene lager sin egen infrastruktur for å være vert for falske påloggingssider for mye brukte medie- og e-posttjenester.

Profilering av enheten bak FlexStarling

Motstanderen, som har vært aktiv siden januar 2024, bruker spear-phishing-e-poster for å lokke mål til å installere det som ser ut til å være Sahara Press Service sin mobilapp eller en relatert lokkeapp. Avhengig av operativsystemet, blir ofre enten presentert med en ondsinnet APK som er maskert som Sahara Press Service-appen eller omdirigert til en falsk påloggingsside for sosiale medier for å hente inn påloggingsinformasjonen deres.

Den nylig identifiserte Android-malwaren, FlexStarling, er mangefasettert og i stand til å distribuere ytterligere skadevarekomponenter og trekke ut sensitive data fra infiserte enheter. Når den er installert, ber FlexStarling om omfattende tillatelser, noe som gjør det mulig for den å utføre ulike ondsinnede aktiviteter, inkludert å motta kommandoer fra en Firebase-basert kommando-og-kontroll-server (C2), en taktikk som brukes for å unngå oppdagelse.

Talos advarer om at kampanjer rettet mot høyprofilerte personer som denne ofte har som mål å forbli uoppdaget på enheter i lengre perioder.