Mobile Malware von FlexStarling
Menschenrechtsverteidiger in Marokko und der Westsahara sehen sich einer neuen Bedrohung durch Cyber-Angreifer ausgesetzt, die Phishing-Techniken einsetzen, um ihre Opfer dazu zu verleiten, gefälschte Android-Anwendungen zu installieren und gefälschte Anmeldeseiten anzuzeigen, um die Anmeldeinformationen von Windows-Benutzern zu erbeuten. Im Mittelpunkt dieser schädlichen Kampagne steht eine kürzlich identifizierte Android-Malware namens FlexStarling.
Diese auch als Starry Addax bekannte Bedrohung wird von Cybersicherheitsexperten aktiv überwacht und zielt speziell auf Aktivisten mit Verbindungen zur Demokratischen Arabischen Republik Sahara (SADR) ab.
Starry Addax operiert über eine Infrastruktur mit zwei Websites – ondroid.site und ondroid.store –, die sich sowohl an Android- als auch an Windows-Benutzer richten. Für Windows-Benutzer richten die Angreifer gefälschte Websites ein, die beliebten Social-Media-Plattformen ähneln, um Anmeldeinformationen zu stehlen.
Inhaltsverzeichnis
Starry Addax scheint seinen Ansatz den gezielten Opfern anzupassen
Der Bedrohungsakteur Starry Addax scheint eine eigene Infrastruktur aufzubauen und Seiten zu hosten, die zum Sammeln von Anmeldeinformationen konzipiert sind, darunter gefälschte Anmeldeseiten für weltweit weit verbreitete Medien- und E-Mail-Dienste.
Dieser Angreifer, der vermutlich seit Januar 2024 aktiv ist, zielt mit Spear-Phishing-E-Mails auf Einzelpersonen ab und fordert sie auf, entweder die mobile Anwendung des Sahara Press Service oder ein ähnliches, für die Region relevantes Lockmittel herunterzuladen.
Nach der Analyse des Betriebssystems des anfordernden Geräts wird das Opfer aufgefordert, entweder eine betrügerische APK herunterzuladen, die als Anwendung des Sahara Press Service getarnt ist, oder auf eine gefälschte Anmeldeseite für soziale Medien umgeleitet, wo seine Anmeldeinformationen abgegriffen werden.
FlexStarling taucht an der Android-Malware-Front auf
Die neu entdeckte Android-Malware namens FlexStarling zeichnet sich durch ihre Vielseitigkeit aus. Sie ist darauf ausgelegt, zusätzliche Schadkomponenten einzusetzen und gleichzeitig heimlich vertrauliche Informationen von infizierten Geräten zu extrahieren.
Bei der Installation fordert FlexStarling den Benutzer auf, umfangreiche Berechtigungen zu erteilen, wodurch die Malware eine Reihe unsicherer Aktivitäten ausführen kann. Sie kann Befehle von einem Firebase-basierten Command-and-Control-Server (C2) empfangen, was auf einen gezielten Versuch des Bedrohungsakteurs hindeutet, der Erkennung zu entgehen.
Solche Kampagnen, insbesondere jene, die sich an prominente Personen richten, zielen typischerweise darauf ab, für einen längeren Zeitraum unentdeckt auf dem Gerät zu bleiben.
Jeder Aspekt dieser Schadsoftware, von ihren Komponenten bis hin zur operativen Infrastruktur, scheint maßgeschneidert für diese spezielle Kampagne zu sein, was den starken Schwerpunkt auf Tarnung und die Durchführung verdeckter Operationen unterstreicht.
The Starry Addax baut möglicherweise ein Arsenal an benutzerdefinierten Malware-Tools auf
Die neuesten Entdeckungen offenbaren eine interessante Entwicklung: Starry Addax hat sich dafür entschieden, eine eigene Palette an Tools und eine eigene Infrastruktur für den gezielten Einsatz gegen Menschenrechtsaktivisten zu entwickeln, statt sich auf vorgefertigte Schadsoftware oder handelsübliche Spyware zu verlassen.
Obwohl sich die Angriffe noch in einem frühen operativen Stadium befinden, geht Starry Addax davon aus, dass die unterstützende Infrastruktur und die als FlexStarling bekannte Schadsoftware weit genug entwickelt sind, um gezielt Menschenrechtsaktivisten in Nordafrika anzugreifen.
Der zeitliche Ablauf der Ereignisse, zu dem die Einrichtung von Abwurfpunkten, Command-and-Control-Zentren (C2) und die Entwicklung von Schadsoftware seit Anfang Januar 2024 gehören, lässt darauf schließen, dass Starry Addax seine Infrastruktur für die gezielte Ansprache hochrangiger Personen rasch aufbaut und kurz davor steht, seine Aktivitäten voranzutreiben.
