FlexStarling Mobile Malware tem como alvo vítimas especializadas na África

Os activistas dos direitos humanos em Marrocos e na região do Sahara Ocidental enfrentam uma nova ameaça de actores maliciosos que utilizam tácticas de phishing para enganar as vítimas, fazendo-as descarregar aplicações Android falsas e aceder a páginas web fraudulentas para roubar credenciais de login de utilizadores do Windows.

Cisco Talos identificou esta campanha de ameaça como Starry Addax, que visa principalmente ativistas associados à República Árabe Saharaui Democrática (RASD). A infraestrutura utilizada por Starry Addax, nomeadamente ondroid[.]site e ondroid[.]store, é adaptada para explorar usuários de Android e Windows. Para usuários do Windows, os invasores criaram sites falsos, semelhantes a plataformas populares de mídia social, para induzir os indivíduos a divulgar seus detalhes de login.

Embora sites específicos visados por esses ataques de roubo de credenciais não possam ser divulgados devido a investigações em andamento, Talos revelou que os atores da ameaça estão criando sua própria infraestrutura para hospedar páginas de login falsificadas para serviços de mídia e e-mail amplamente utilizados.

Perfil da entidade por trás do FlexStarling

O adversário, ativo desde janeiro de 2024, emprega e-mails de spear-phishing para induzir os alvos a instalar o que parece ser o aplicativo móvel do Sahara Press Service ou um aplicativo chamariz relacionado. Dependendo do sistema operacional, as vítimas recebem um APK malicioso disfarçado de aplicativo Sahara Press Service ou são redirecionadas para uma página de login de mídia social falsa para coletar suas credenciais.

O malware Android recentemente identificado, FlexStarling, é multifacetado e capaz de implantar componentes adicionais de malware e extrair dados confidenciais de dispositivos infectados. Uma vez instalado, o FlexStarling solicita permissões extensas, permitindo-lhe realizar diversas atividades maliciosas, incluindo receber comandos de um servidor de comando e controle (C2) baseado no Firebase, uma tática usada para evitar a detecção.

Talos alerta que campanhas direcionadas a indivíduos importantes como esta muitas vezes visam permanecer indetectáveis nos dispositivos por longos períodos.