Logiciel malveillant mobile FlexStarling
Les défenseurs des droits humains au Maroc et dans la région du Sahara occidental sont confrontés à une nouvelle menace de cyber-attaquants qui emploient des techniques de phishing pour inciter les victimes à installer de fausses applications Android et à présenter de fausses pages de connexion pour récolter les informations d'identification des utilisateurs Windows. Cette campagne nuisible s'articule autour d'un malware Android récemment identifié, baptisé FlexStarling.
Également connu sous le nom de Starry Addax, les experts en cybersécurité surveillent activement cette menace, qui cible spécifiquement les militants liés à la République arabe sahraouie démocratique (RASD).
Starry Addax fonctionne via une infrastructure impliquant deux sites Web – ondroid.site et ondroid.store, destinés aux utilisateurs d'Android et de Windows. Pour les utilisateurs Windows, les attaquants créent des sites Web contrefaits ressemblant à des plateformes de médias sociaux populaires pour voler les informations de connexion.
Table des matières
Starry Addax semble adapter son approche en fonction des victimes ciblées
L'acteur menaçant Starry Addax semble mettre en place sa propre infrastructure, hébergeant des pages conçues pour récolter des informations d'identification, notamment des pages de connexion contrefaites pour des médias et des services de messagerie largement utilisés dans le monde entier.
Cet adversaire, soupçonné d'être actif depuis janvier 2024, utilise des courriels de spear phishing pour cibler des individus, les encourageant à télécharger soit l'application mobile du Sahara Press Service, soit un leurre connexe pertinent pour la région.
Après avoir analysé le système d'exploitation de l'appareil demandeur, la victime est invitée soit à télécharger un APK frauduleux se faisant passer pour l'application Sahara Press Service, soit à être redirigée vers une fausse page de connexion sur les réseaux sociaux, où ses informations d'identification sont collectées.
FlexStarling émerge sur le front des logiciels malveillants Android
Le malware Android récemment découvert, FlexStarling, est polyvalent et est conçu pour déployer des composants malveillants supplémentaires tout en extrayant clandestinement des informations sensibles des appareils compromis.
Lors de l'installation, FlexStarling invite l'utilisateur à accorder des autorisations étendues, permettant au malware d'exécuter une gamme d'activités dangereuses. Il peut recevoir des commandes d'un serveur de commande et de contrôle (C2) basé sur Firebase, indiquant un effort délibéré de la part de l'acteur menaçant pour échapper à la détection.
De telles campagnes, en particulier celles ciblant des personnalités de premier plan, visent généralement à ne pas être détectées sur l'appareil pendant une durée prolongée.
Chaque aspect de ce malware, de ses composants à l'infrastructure opérationnelle, semble être conçu sur mesure pour cette campagne spécifique, mettant fortement l'accent sur la furtivité et la conduite d'opérations secrètes.
Le Starry Addax est peut-être en train de construire un arsenal d’outils malveillants personnalisés
Les dernières découvertes révèlent un développement intrigant : Starry Addax a choisi de construire sa propre gamme d'outils et d'infrastructures pour cibler les militants des droits humains plutôt que de s'appuyer sur des logiciels malveillants préfabriqués ou des logiciels espions disponibles dans le commerce.
Bien que les attaques n’en soient qu’à leurs premiers stades opérationnels, Starry Addax a jugé l’infrastructure et le malware sous-jacents, connus sous le nom de FlexStarling, suffisamment développés pour lancer le ciblage des militants des droits humains en Afrique du Nord.
La chronologie des événements, y compris la création de points de dépôt, de centres de commande et de contrôle (C2) et le développement de logiciels malveillants depuis début janvier 2024, suggère que Starry Addax construit rapidement son infrastructure pour cibler des individus de haut niveau et qu'elle est prête à pour dynamiser ses opérations.
