Il gruppo di sicurezza informatica Cisco Talos ha recentemente identificato un nuovo attore di minaccia chiamato “Starry Addax“, che mira principalmente agli attivisti per i diritti umani associati alla causa della Repubblica Araba Saharawi Democratica (SADR). Utilizzando tecniche di phishing sofisticate, Starry Addax induce le sue vittime a installare applicazioni Android malevole, denominate “FlexStarling”, e per gli utenti Windows, pagine di phishing che imitano quelle di login di noti siti web.
Focus sul Sahara Occidentale
Il malware “FlexStarling” si camuffa come un’app legittima associata al Sahara Press Service (SPSRASD), un’agenzia mediatica legata alla SADR, offrendo contenuti in lingua spagnola per apparire credibile. Tuttavia, questa applicazione nasconde un malware altamente versatile, capace di rubare informazioni e distribuire ulteriori componenti malevoli sui dispositivi infetti.
Tecnica di attacco
Gli attacchi iniziano con email di phishing mirate, contenenti inviti a installare l’app della Sahara News Agency o temi correlati al Sahara Occidentale. Queste email provengono da domini controllati dall’attaccante, e a seconda del sistema operativo del destinatario, reindirizzano verso il download di FlexStarling o pagine false per il furto di credenziali.
Attacco personalizzato
La campagna di Starry Addax dimostra un alto grado di personalizzazione, con malware e infrastrutture create ad hoc per rimanere nascoste e operare sotto il radar. L’utilizzo di FlexStarling, con un comando e controllo basato su Firebase, evidenzia uno sforzo significativo per evitare rilevamenti e mantenere l’operatività occulta.
FlexStarling: malware avanzato
FlexStarling richiede numerosi permessi al sistema operativo Android per estorcere informazioni dal dispositivo. Effettua controlli anti-emulazione e, se superati, ottiene autorizzazioni per gestire aree di archiviazione esterne, aumentando così la sua capacità di manipolare i dati dell’utente.
Starry Addax rappresenta una seria minaccia per i difensori dei diritti umani nel Nord Africa, sottolineando l’importanza di adottare misure di sicurezza informatica avanzate e di essere consapevoli delle tecniche di phishing e malware utilizzate dagli attori delle minacce.
