FlexStarling Mobile Malware riktar sig mot specialiserade offer i Afrika

Människorättsaktivister i Marocko och Västsahara-regionen står inför ett nytt hot från illvilliga aktörer som använder nätfisketaktik för att lura offer till att ladda ner falska Android-applikationer och komma åt vilseledande webbsidor för att stjäla inloggningsuppgifter från Windows-användare.

Cisco Talos har identifierat denna hotkampanj som Starry Addax, som i första hand riktar sig till aktivister associerade med Saharawi Arab Democratic Republic (SADR). Infrastrukturen som används av Starry Addax, nämligen ondroid[.]site och ondroid[.]store, är skräddarsydd för att utnyttja både Android- och Windows-användare. För Windows-användare satte angriparna upp falska webbplatser som liknar populära sociala medieplattformar för att lura individer att avslöja sina inloggningsuppgifter.

Även om specifika webbplatser som riktas mot dessa autentiseringsstöldattacker inte kan avslöjas på grund av pågående utredningar, avslöjade Talos att hotaktörerna skapar sin egen infrastruktur för att vara värd för falska inloggningssidor för allmänt använda media- och e-posttjänster.

Profilera enheten bakom FlexStarling

Motståndaren, som har varit aktiv sedan januari 2024, använder e-post med nätfiske för att locka mål att installera vad som verkar vara Sahara Press Services mobilapp eller en relaterad lockbetsapp. Beroende på operativsystemet presenteras offren antingen för en skadlig APK-fil som maskerar sig som Sahara Press Service-appen eller omdirigeras till en falsk inloggningssida för sociala medier för att hämta sina referenser.

Den nyligen identifierade skadliga programvaran för Android, FlexStarling, är mångfacetterad och kan distribuera ytterligare skadliga komponenter och extrahera känslig data från infekterade enheter. När FlexStarling väl har installerats begär det omfattande behörigheter, vilket gör det möjligt för den att utföra olika skadliga aktiviteter, inklusive att ta emot kommandon från en Firebase-baserad kommando-och-kontroll-server (C2), en taktik som används för att undvika upptäckt.

Talos varnar för att kampanjer som riktar sig till högprofilerade individer som denna ofta syftar till att förbli oupptäckta på enheter under längre perioder.