FlexStarling 移动恶意软件瞄准非洲特定受害者

摩洛哥和西撒哈拉地区的人权活动家面临着恶意行为者的新威胁，他们使用网络钓鱼手段诱骗受害者下载假的 Android 应用程序并访问欺骗性网页，以窃取 Windows 用户的登录凭据。

Cisco Talos 已将此威胁活动确定为 Starry Addax，主要针对与撒哈拉阿拉伯民主共和国 (SADR) 有关的激进分子。Starry Addax 使用的基础设施，即 ondroid[.]site 和 ondroid[.]store，专门用于利用 Android 和 Windows 用户。对于 Windows 用户，攻击者会设置类似于流行社交媒体平台的虚假网站，诱骗个人泄露其登录详细信息。

虽然由于调查仍在进行中，这些凭证盗窃攻击所针对的具体网站无法披露，但 Talos 透露，威胁行为者正在创建自己的基础设施来托管广泛使用的媒体和电子邮件服务的伪造登录页面。

分析 FlexStarling 背后的实体

该攻击者自 2024 年 1 月起开始活跃，利用鱼叉式网络钓鱼电子邮件诱使目标安装看似 Sahara Press Service 的移动应用程序或相关诱饵应用程序。根据操作系统的不同，受害者要么会看到伪装成 Sahara Press Service 应用程序的恶意 APK，要么被重定向到虚假的社交媒体登录页面以获取其凭据。

新发现的 Android 恶意软件 FlexStarling 功能多样，能够部署其他恶意软件组件并从受感染的设备中提取敏感数据。安装后，FlexStarling 会请求大量权限，使其能够执行各种恶意活动，包括从基于 Firebase 的命令和控制 (C2) 服务器接收命令，这是一种逃避检测的策略。

Talos 警告称，此类针对知名个人的活动通常旨在长时间隐藏在设备上而不被发现。