Szkodliwe oprogramowanie mobilne FlexStarling atakuje wyspecjalizowane ofiary w Afryce

Działacze na rzecz praw człowieka w Maroku i regionie Sahary Zachodniej stoją w obliczu nowego zagrożenia ze strony złośliwych podmiotów, które stosują taktykę phishingu, aby oszukać ofiary w celu pobrania fałszywych aplikacji na Androida i uzyskania dostępu do zwodniczych stron internetowych w celu kradzieży danych logowania użytkownikom systemu Windows.

Cisco Talos zidentyfikował tę kampanię zagrożeń jako Starry Addax, której celem są głównie aktywiści związani z Sahrawi Arabską Republiką Demokratyczną (SADR). Infrastruktura wykorzystywana przez Starry Addax, a mianowicie ondroid[.]site i ondroid[.]store, jest dostosowana do wykorzystania zarówno użytkowników Androida, jak i Windowsa. W przypadku użytkowników systemu Windows napastnicy konfigurują fałszywe witryny przypominające popularne platformy mediów społecznościowych, aby nakłonić użytkowników do ujawnienia danych logowania.

Chociaż ze względu na trwające dochodzenia nie można ujawnić konkretnych stron internetowych będących celem tych ataków polegających na kradzieży danych uwierzytelniających, firma Talos ujawniła, że podmioty zagrażające tworzą własną infrastrukturę do hostowania fałszywych stron logowania do powszechnie używanych mediów i usług e-mail.

Profilowanie podmiotu stojącego za FlexStarling

Przeciwnik, aktywny od stycznia 2024 r., wykorzystuje wiadomości e-mail typu spear-phishing, aby nakłonić cele do zainstalowania czegoś, co wydaje się być aplikacją mobilną Sahara Press Service lub powiązaną aplikacją wabiącą. W zależności od systemu operacyjnego ofiarom wyświetla się złośliwy plik APK udający aplikację Sahara Press Service lub zostaje przekierowany na fałszywą stronę logowania do mediów społecznościowych w celu zdobycia ich danych uwierzytelniających.

Nowo zidentyfikowane szkodliwe oprogramowanie dla Androida, FlexStarling, jest wieloaspektowe i może instalować dodatkowe komponenty złośliwego oprogramowania oraz wydobywać wrażliwe dane z zainfekowanych urządzeń. Po zainstalowaniu FlexStarling żąda szerokich uprawnień, umożliwiających mu wykonywanie różnych szkodliwych działań, w tym odbieranie poleceń z serwera dowodzenia i kontroli (C2) opartego na Firebase, co jest taktyką stosowaną w celu uniknięcia wykrycia.

Talos ostrzega, że kampanie kierowane do znanych osób, takich jak ta, często mają na celu pozostanie niewykrytym na urządzeniach przez dłuższy czas.