FlexStarling 行動惡意軟體針對非洲的專門受害者
摩洛哥和西撒哈拉地區的人權活動人士面臨來自惡意行為者的新威脅,這些惡意行為者使用網路釣魚策略欺騙受害者下載虛假 Android 應用程式並訪問欺騙性網頁以竊取 Windows 用戶的登入憑證。
思科 Talos 已將這項威脅活動識別為 Starry Addax,主要針對與阿拉伯撒哈拉民主共和國 (SADR) 相關的活動人士。 Starry Addax 使用的基礎設施,即 ondroid[.]site 和 ondroid[.]store,專為利用 Android 和 Windows 用戶而客製化。對於 Windows 用戶,攻擊者建立類似於流行社交媒體平台的虛假網站,以誘騙個人洩露他們的登入詳細資訊。
儘管由於正在進行的調查,這些憑證盜竊攻擊所針對的特定網站無法披露,但 Talos 透露,威脅行為者正在創建自己的基礎設施,為廣泛使用的媒體和電子郵件服務託管偽造的登錄頁面。
分析 FlexStarling 背後的實體
該對手自 2024 年 1 月以來一直活躍,利用魚叉式網路釣魚電子郵件來誘使目標安裝看似撒哈拉新聞服務的行動應用程式或相關的誘餌應用程式。根據作業系統的不同,受害者要么會收到偽裝成 Sahara Press Service 應用程式的惡意 APK,要么會被重定向到虛假的社交媒體登錄頁面以獲取其憑證。
新發現的 Android 惡意軟體 FlexStarling 具有多面性,能夠部署額外的惡意軟體元件並從受感染的裝置中提取敏感資料。安裝後,FlexStarling 會要求廣泛的權限,使其能夠執行各種惡意活動,包括從基於 Firebase 的命令和控制 (C2) 伺服器接收命令,這是一種逃避檢測的策略。
Talos 警告說,針對像這樣的知名人士的活動通常旨在長時間在設備上保持不被發現。