Fas ve Batı Sahra bölgesindeki insan hakları aktivistleri, kurbanları sahte Android uygulamaları yüklemeleri ve Windows kullanıcılarına yönelik kimlik bilgileri toplama sayfaları sunmaları için kandırmak amacıyla kimlik avı saldırılarından yararlanan yeni bir tehdit aktörünün hedefi.
Cisco Talos, etkinlik kümesini adı altında takip ediyor Yıldızlı Addaxbunu öncelikle Sahra Arap Demokratik Cumhuriyeti (SADR) ile bağlantılı aktivistleri ayırmak olarak tanımlıyor.
Starry Addax’ın altyapısı – ondroid[.]site ve ondroid[.]Mağaza – hem Android hem de Windows kullanıcılarını hedeflemek için tasarlandı; ikincisi, popüler sosyal medya web sitelerinin giriş sayfaları gibi görünen sahte web sitelerini içeriyor.
Ocak 2024’ten bu yana aktif olduğuna inanılan saldırganın, hedeflere hedef odaklı kimlik avı e-postaları göndererek, alıcıları Sahara Press Service’in mobil uygulamasını veya bölgeyle ilgili ilgili bir tuzağı yüklemeye teşvik ettiği biliniyor.
İsteğin geldiği işletim sistemine bağlı olarak, hedefe ya Sahara Press Service’i taklit eden kötü amaçlı bir APK sunuluyor ya da kimlik bilgilerini toplamak için bir sosyal medya giriş sayfasına yönlendiriliyor.
FlexStarling olarak adlandırılan yeni Android kötü amaçlı yazılımı çok yönlüdür ve ek kötü amaçlı yazılım bileşenleri sunacak ve virüslü cihazlardan hassas bilgileri çalacak donanıma sahiptir.
Kurulduktan sonra kurbandan, kötü amaçlı yazılımın, Firebase tabanlı bir komuta ve kontrolden (C2) yürütülecek komutları almak da dahil olmak üzere, kötü amaçlı eylemler gerçekleştirmesine olanak tanıyan kapsamlı izinler vermesini talep eder; bu, tehdit aktörünün bunu yapmak istediğinin bir işaretidir. radarın altında uçmak.
Talos, “Yüksek değerli bireyleri hedef alan bu gibi kampanyalar genellikle cihazın başında uzun süre sessizce oturmayı amaçlıyor” dedi.
“Kötü amaçlı yazılımdan işletim altyapısına kadar tüm bileşenler, bu özel kampanya için özel olarak hazırlanmış gibi görünüyor ve bu, gizliliğe ve radar altında faaliyetler yürütmeye yoğun bir şekilde odaklanıldığını gösteriyor.”
Gelişme, yeni bir ticari Android uzaktan erişim truva atının (RAT) ortaya çıktığı dönemde gerçekleşti. Oksikorat çeşitli bilgi toplama yetenekleriyle satışa sunuluyor.