Malware móvil FlexStarling
Los defensores de los derechos humanos en Marruecos y la zona del Sahara Occidental enfrentan una nueva amenaza de ciberatacantes que emplean técnicas de phishing para engañar a las víctimas para que instalen aplicaciones Android falsas y presenten páginas de inicio de sesión falsas para recopilar credenciales de usuarios de Windows. Esta dañina campaña gira en torno a un malware para Android identificado recientemente denominado FlexStarling.
También conocida como Starry Addax, los expertos en ciberseguridad están monitoreando activamente esta amenaza, que apunta específicamente a activistas vinculados con la República Árabe Saharaui Democrática (RASD).
Starry Addax opera a través de una infraestructura que involucra dos sitios web: ondroid.site y ondroid.store, dirigidos tanto a usuarios de Android como de Windows. Para los usuarios de Windows, los atacantes crearon sitios web falsificados que se asemejaban a plataformas de redes sociales populares para robar las credenciales de inicio de sesión.
Tabla de contenido
Starry Addax parece adaptar su enfoque según las víctimas objetivo
El actor de amenazas Starry Addax parece estar configurando su propia infraestructura, alojando páginas diseñadas para recolectar credenciales, incluidas páginas de inicio de sesión falsificadas para medios y servicios de correo electrónico ampliamente utilizados en todo el mundo.
Este adversario, que se sospecha que ha estado activo desde enero de 2024, emplea correos electrónicos de phishing dirigido a personas, animándolas a descargar la aplicación móvil del Sahara Press Service o un señuelo relacionado relevante para la región.
Al analizar el sistema operativo del dispositivo solicitante, se dirige a la víctima a descargar un APK fraudulento que se hace pasar por la aplicación Sahara Press Service o se le redirige a una página de inicio de sesión de redes sociales falsa, donde se recopilan sus credenciales.
FlexStarling emerge en el frente del malware de Android
El malware para Android recientemente descubierto, FlexStarling, cuenta con versatilidad y está diseñado para implementar componentes maliciosos adicionales mientras extrae clandestinamente información confidencial de los dispositivos comprometidos.
Tras la instalación, FlexStarling solicita al usuario que otorgue amplios permisos, lo que permite que el malware ejecute una variedad de actividades inseguras. Puede recibir comandos de un servidor de comando y control (C2) basado en Firebase, lo que indica un esfuerzo deliberado por parte del actor de la amenaza para evadir la detección.
Este tipo de campañas, en particular aquellas dirigidas a personas de alto perfil, normalmente tienen como objetivo permanecer sin ser detectadas en el dispositivo durante un período prolongado.
Cada aspecto de este malware, desde sus componentes hasta la infraestructura operativa, parece estar hecho a medida para esta campaña específica, destacando un fuerte énfasis en el sigilo y la realización de operaciones encubiertas.
Starry Addax puede estar creando un arsenal de herramientas de malware personalizadas
Los últimos descubrimientos revelan un desarrollo intrigante: Starry Addax ha optado por construir su propia gama de herramientas e infraestructura para atacar a los activistas de derechos humanos en lugar de depender de malware prefabricado o software espía disponible comercialmente.
Aunque los ataques aún se encuentran en sus primeras etapas operativas, Starry Addax ha considerado que la infraestructura de soporte y el malware, conocido como FlexStarling, están suficientemente desarrollados para atacar a los activistas de derechos humanos en el norte de África.
La cronología de los eventos, incluido el establecimiento de puntos de entrega, centros de comando y control (C2) y el desarrollo de malware desde principios de enero de 2024, sugiere que Starry Addax está construyendo rápidamente su infraestructura para apuntar a personas de alto perfil y está preparada. para ganar impulso en sus operaciones.
