Мобильное вредоносное ПО FlexStarling нацелено на специализированные жертвы в Африке
Правозащитники в Марокко и регионе Западной Сахары сталкиваются с новой угрозой со стороны злоумышленников, которые используют тактику фишинга, чтобы обманом заставить жертв загрузить поддельные приложения для Android и получить доступ к обманным веб-страницам для кражи учетных данных у пользователей Windows.
Cisco Talos определила эту кампанию угроз как «Звездный Аддакс», которая в первую очередь нацелена на активистов, связанных с Сахарской Арабской Демократической Республикой (САДР). Инфраструктура, используемая Starry Addax, а именно ondroid[.]site и ondroid[.]store, предназначена для использования как пользователей Android, так и Windows. Для пользователей Windows злоумышленники создали поддельные веб-сайты, напоминающие популярные платформы социальных сетей, чтобы обманом заставить людей раскрыть свои данные для входа.
Хотя конкретные веб-сайты, подвергшиеся этим атакам по краже учетных данных, не могут быть раскрыты из-за продолжающихся расследований, Талос обнаружил, что злоумышленники создают свою собственную инфраструктуру для размещения поддельных страниц входа в широко используемые средства массовой информации и почтовые службы.
Профилирование сущности, стоящей за FlexStarling
Злоумышленник, активный с января 2024 года, использует целевые фишинговые электронные письма, чтобы побудить цели установить то, что выглядит как мобильное приложение пресс-службы Сахары или связанное с ним приложение-ловушку. В зависимости от операционной системы жертвам либо предоставляется вредоносный APK-файл, маскирующийся под приложение Sahara Press Service, либо они перенаправляются на поддельную страницу входа в социальную сеть для получения их учетных данных.
Недавно выявленное вредоносное ПО для Android, FlexStarling, является многогранным и способно развертывать дополнительные компоненты вредоносного ПО и извлекать конфиденциальные данные с зараженных устройств. После установки FlexStarling запрашивает расширенные разрешения, что позволяет ему выполнять различные вредоносные действия, включая получение команд от сервера управления и контроля (C2) на базе Firebase — тактика, используемая для уклонения от обнаружения.
Талос предупреждает, что кампании, нацеленные на таких высокопоставленных лиц, как эта, часто направлены на то, чтобы оставаться незамеченными на устройствах в течение длительного периода времени.