FlexStarling モバイル マルウェア

モロッコと西サハラ地域の人権擁護活動家は、フィッシング技術を使って被害者を騙し、偽の Android アプリケーションをインストールさせ、偽のログイン ページを表示させて Windows ユーザーから認証情報を収集するサイバー攻撃者による新たな脅威に直面しています。この有害なキャンペーンは、最近特定された FlexStarling と呼ばれる Android マルウェアを中心に展開されています。

「スターリー・アダックス」としても知られるこの脅威は、サハラ・アラブ民主共和国（SADR）とつながりのある活動家を特に標的としており、サイバーセキュリティの専門家は積極的に監視している。

Starry Addax は、Android ユーザーと Windows ユーザーの両方を対象とした ondroid.site と ondroid.store という 2 つの Web サイトを含むインフラストラクチャを通じて動作します。Windows ユーザーの場合、攻撃者は人気のソーシャル メディア プラットフォームに似た偽の Web サイトを設定し、ログイン認証情報を盗みます。

スターリー・アダックスは標的の被害者に応じてアプローチを調整しているようだ

Starry Addax の脅威アクターは独自のインフラストラクチャを構築し、世界中で広く使用されているメディアや電子メール サービスの偽造ログイン ページなど、認証情報を収集するように設計されたページをホストしているようです。

この攻撃者は2024年1月から活動していたとみられ、スピアフィッシングメールを使って個人を標的にし、サハラ・プレス・サービスのモバイルアプリケーションか、その地域に関連するおとりアプリケーションをダウンロードするよう促している。

要求元のデバイスのオペレーティング システムを分析すると、被害者は、Sahara Press Service アプリケーションを装った不正な APK をダウンロードするように誘導されるか、偽のソーシャル メディア ログイン ページにリダイレクトされて認証情報が収集されます。

FlexStarling が Android マルウェアの最前線に登場

新たに発見された Android マルウェア FlexStarling は汎用性を誇り、侵害されたデバイスから機密情報を秘密裏に抽出しながら、追加の悪意のあるコンポーネントを展開するように設計されています。

インストールされると、FlexStarling はユーザーに広範な権限を付与するよう要求し、マルウェアがさまざまな危険なアクティビティを実行できるようにします。Firebase ベースのコマンド アンド コントロール (C2) サーバーからコマンドを受信できるため、脅威アクターが検出を回避しようとしていることが示唆されます。

このようなキャンペーン、特に著名人をターゲットにしたキャンペーンは、通常、デバイス上で長期間検出されないことを目指しています。

このマルウェアのコンポーネントから運用インフラストラクチャに至るまで、あらゆる側面がこの特定のキャンペーンに合わせてカスタマイズされているようで、ステルス性と秘密作戦の実行に重点が置かれていることがわかります。

Starry Addax はカスタム マルウェア ツールの武器庫を構築している可能性があります

最新の発見により、興味深い展開が明らかになった。Starry Addax は、既成のマルウェアや市販のスパイウェアに頼るのではなく、人権活動家を標的とする一連のツールとインフラストラクチャを独自に構築することを選択したのだ。

攻撃はまだ初期段階にあるが、Starry Addax は、支援インフラと FlexStarling として知られるマルウェアが、北アフリカの人権活動家を標的とする攻撃を開始するのに十分に発達していると判断している。

2024年1月初旬以降のドロップポイント、コマンドアンドコントロール（C2）センターの設置、マルウェアの開発などのイベントのタイムラインは、Starry Addaxが著名人を標的とするインフラストラクチャを急速に構築しており、活動に勢いをつけようとしていることを示唆しています。