Starry Addax et FlexStarling : un logiciel espion Android ciblant les activistes en Afrique du Nord

Une menace mobile ciblée arrive en Afrique du Nord

Les chercheurs de Cisco Talos ont identifié un acteur de menace appelé Starry Addax en avril 2024, révélant une campagne ciblant spécifiquement des militants des droits humains associés à la cause de la République arabe sahraouie démocratique (RASD) en Afrique du Nord. Le groupe déploie un logiciel espion Android personnalisé appelé FlexStarling par le biais d’e-mails de harponnage (spear-phishing) qui incitent les victimes à installer une application mobile trojanisée.

Ce qui rend Starry Addax significatif pour le paysage cybersécuritaire algérien ne réside pas seulement dans ses cibles immédiates, mais dans ce qu’il révèle sur l’environnement des menaces mobiles dans la région. Les outils sur mesure du groupe, l’ingénierie sociale adaptée à la région et ses techniques d’évasion délibérées démontrent un niveau de sophistication qui préfigure les types de menaces auxquelles l’écosystème mobile en pleine expansion de l’Algérie sera de plus en plus confronté.

L’Algérie a enregistré plus de 70 millions de cyberattaques en 2024, se classant au 17e rang mondial parmi les pays les plus ciblés selon Kaspersky. La firme a également bloqué plus de 13 millions de tentatives de phishing et près de 750 000 pièces jointes malveillantes ciblant les utilisateurs algériens au cours de la même période.

Comment Starry Addax opère

Starry Addax est actif depuis janvier 2024, concentrant ses opérations sur des individus sympathisants de la cause de la RASD au Maroc et dans la région du Sahara occidental. Le nom du groupe suit la convention de nommage en cybersécurité qui combine un animal originaire de la région ciblée avec un modificateur descriptif. L’addax est une antilope saharienne en danger critique d’extinction, et « starry » fait référence à la famille de malwares FlexStarling du groupe.

La chaîne d’infection de la campagne commence par des e-mails de harponnage qui incitent les cibles à installer ce qui semble être l’application mobile du Sahara Press Service (SPSRASD) ou un leurre similaire lié au contexte du Sahara occidental. L’infrastructure de phishing du groupe s’adapte en fonction du système d’exploitation de la victime : les utilisateurs Android reçoivent l’APK FlexStarling, tandis que les utilisateurs Windows sont redirigés vers une page de connexion aux réseaux sociaux conçue pour voler leurs identifiants.

Ce qui distingue Starry Addax des cybercriminels opportunistes est son investissement dans un outillage personnalisé. Tous les composants, du malware à l’infrastructure opérationnelle, semblent avoir été conçus sur mesure pour cette campagne spécifique plutôt que de s’appuyer sur des outils disponibles sur les forums clandestins. Cela indique une opération bien dotée en ressources, avec un objectif délibéré de furtivité.

FlexStarling : capacités techniques

FlexStarling est un logiciel espion Android conçu pour extraire des informations sensibles des appareils compromis tout en échappant à la détection. Lors de l’installation, l’APK malveillant demande des permissions étendues au système d’exploitation Android, incluant l’accès aux messages SMS, aux journaux d’appels, aux contacts, au stockage externe, à l’enregistrement audio, aux informations d’état du téléphone et à la connectivité réseau.

L’infrastructure de commande et contrôle du malware repose sur Firebase, la plateforme de développement mobile de Google, plutôt que sur des serveurs C2 traditionnels. Ce choix architectural est délibéré : les communications basées sur Firebase se fondent dans le trafic légitime des applications, rendant la détection au niveau réseau considérablement plus difficile pour les outils de sécurité.

FlexStarling intègre des fonctionnalités anti-analyse qui vérifient les informations BUILD pour détecter des mots-clés indiquant que le malware s’exécute sur un émulateur ou un bac à sable d’analyse. Cela complique les efforts de rétro-ingénierie des chercheurs en sécurité. Une fois installé sur un appareil, FlexStarling peut recevoir des commandes de son C2 pour activer ou désactiver des fonctionnalités, déployer des composants malveillants supplémentaires et exfiltrer les données collectées.

Les permissions demandées, en particulier READ_SMS, READ_CONTACTS et READ_CALL_LOG, sont particulièrement dangereuses dans le contexte algérien où le SMS reste le mécanisme principal d’authentification à deux facteurs pour la plupart des services bancaires et financiers. Si des techniques similaires étaient appliquées à grande échelle contre les utilisateurs de services bancaires mobiles, les appareils compromis pourraient donner aux attaquants la capacité d’intercepter les messages OTP et de contourner l’authentification à deux facteurs.

Pourquoi l’écosystème mobile algérien est vulnérable

Starry Addax cible un créneau spécifique, mais les vulnérabilités qu’il exploite sont systémiques à travers le paysage mobile algérien.

La dominance d’Android crée une large surface d’attaque. Android détient plus de 87 % de parts de marché en Algérie. Si l’ouverture d’Android est un atout pour les utilisateurs et les développeurs, elle permet l’installation d’applications depuis n’importe quelle source, rendant les utilisateurs vulnérables aux malwares chargés latéralement via le phishing. De nombreux appareils dans la région fonctionnent sous des versions d’Android obsolètes qui ne reçoivent plus de correctifs de sécurité, créant une large population de smartphones en permanence vulnérables.

Les services financiers mobiles se développent rapidement. Des services comme BaridiMob (la plateforme bancaire mobile d’Algerie Poste, qui a lancé les paiements sans contact Baridi Pay en juin 2025), les applications mobiles CCP et les plateformes fintech émergentes intègrent des millions d’utilisateurs auparavant exclusivement en espèces dans le système financier numérique. Chaque nouvel utilisateur de banque mobile représente une cible potentielle, et la transition dépasse la sensibilisation à la sécurité.

Les chevaux de Troie bancaires sont en forte augmentation à l’échelle mondiale. Kaspersky a signalé que les attaques par chevaux de Troie bancaires sur smartphones ont bondi de 196 % en 2024, et les détections de chevaux de Troie bancaires mobiles au premier semestre 2025 étaient près de quatre fois supérieures à celles de la même période de l’année précédente. Des familles actives comme Cerberus, Anubis et le cheval de Troie Grandoreiro, documenté comme affectant l’Algérie parmi d’autres pays africains, superposent de faux écrans de connexion sur les applications bancaires légitimes pour capturer les identifiants.

Les réseaux sociaux servent de canal de distribution pour le phishing. Avec plus de 25 millions d’utilisateurs Facebook en Algérie début 2025, selon les données publicitaires de Meta, les plateformes de réseaux sociaux constituent un vecteur majeur de distribution des campagnes de phishing. WhatsApp, omniprésent en Algérie, amplifie la menace car les liens malveillants partagés par des contacts personnels bénéficient d’une confiance implicite.

Le cadre défensif de l’Algérie

L’Algérie développe ses capacités institutionnelles en cybersécurité, bien que l’Union internationale des télécommunications classe le pays au Tier 3 (« en développement ») dans son Indice mondial de cybersécurité 2024, reflétant un engagement structuré encore en phase de consolidation.

Stratégie nationale de cybersécurité 2025-2029. Approuvée par le président Tebboune via le décret présidentiel n° 25-321 du 30 décembre 2025, et dévoilée par l’ASSI (l’Agence de sécurité des systèmes d’information, rattachée au ministère de la Défense nationale) le 3 mars 2026, la stratégie poursuit trois objectifs principaux : protéger les infrastructures critiques, sécuriser les données sensibles de l’État et assurer la continuité des services publics. Elle met l’accent sur le renforcement des capacités techniques, l’amélioration de la coordination interinstitutionnelle et le renforcement de la prévention et de la réponse aux cyber-incidents.

Décret présidentiel 26-07. Signé le 7 janvier 2026 et publié au Journal officiel le 21 janvier, ce décret impose à chaque institution publique la création d’une unité de cybersécurité dédiée, distincte de la gestion informatique, rattachée directement au responsable de l’institution. Les unités doivent concevoir des politiques de cybersécurité, réaliser une cartographie des risques, déployer des plans de remédiation et assurer la conformité à la législation sur la protection des données personnelles. Cela crée des structures de responsabilité qui n’existaient pas auparavant dans la plupart des institutions publiques.

Architecture institutionnelle. Le cadre de cybersécurité algérien s’articule autour de trois entités : l’ASSI en tant qu’agence technique opérationnelle avec son centre d’opérations CNOSSI, le CNSSI en tant qu’organe stratégique (créé par la loi n° 20-05 de 2020) et le DZ-CERT en tant qu’équipe nationale de réponse aux incidents informatiques hébergée par le CERIST, membre de FIRST et d’AfricaCERT.

Cependant, la mise en œuvre reste le chaînon critique. De nombreuses institutions manquent de budget, d’expertise ou d’engagement organisationnel pour opérationnaliser pleinement les unités de cybersécurité mandatées par le décret 26-07. L’asymétrie entre les outils professionnels utilisés par des groupes comme Starry Addax et la posture de sécurité par défaut de nombreuses organisations algériennes reste frappante.

Défenses pratiques pour les utilisateurs et entreprises algériens

Pour les utilisateurs individuels : Installez les applications uniquement depuis le Google Play Store et désactivez « l’installation depuis des sources inconnues » dans les paramètres Android. Vérifiez les permissions des applications avant l’installation. Maintenez vos appareils à jour avec les derniers correctifs de sécurité. Lorsque les services le permettent, utilisez des applications d’authentification (Google Authenticator, Microsoft Authenticator) plutôt que les SMS pour l’authentification à deux facteurs, car les applications d’authentification sont immunisées contre l’interception des SMS et les attaques par échange de carte SIM.

Pour les équipes de sécurité en entreprise : Déployez des solutions de gestion des appareils mobiles (MDM) pour appliquer le chiffrement, les listes blanches d’applications et les capacités d’effacement à distance. Investissez dans des outils de défense contre les menaces mobiles (MTD) capables de détecter les applications malveillantes et les attaques au niveau réseau. Menez des formations régulières de sensibilisation à la sécurité ciblant spécifiquement le phishing mobile et la vérification des applications. Élaborez des procédures de réponse aux incidents pour les compromissions d’appareils mobiles.

Pour les institutions nationales : Renforcez le partage de renseignements sur les menaces entre le DZ-CERT, l’ASSI et les homologues internationaux pour permettre une détection plus rapide de campagnes comme celle de Starry Addax. Priorisez l’éducation à la sécurité mobile dans les campagnes de sensibilisation publique, en ciblant particulièrement les populations qui adoptent nouvellement les services financiers mobiles. Imposez des normes de sécurité minimales pour les applications bancaires mobiles, incluant l’obfuscation de code, le certificate pinning et la protection d’application en temps d’exécution (RASP).

Sources et lectures complémentaires

• Starry Addax Targets Human Rights Defenders in North Africa with New Malware — Cisco Talos Intelligence
• Hackers Targeting Human Rights Activists in Morocco and Western Sahara — The Hacker News
• Algeria Orders Cybersecurity Units in Public Sector Amid Surge in Cyberattacks — Ecofin Agency
• Algeria Adopts 2025-2029 National Cybersecurity Strategy — We Are Tech Africa
• FlexStarling Mobile Malware Analysis — EnigmaSoft
• Banking Data Theft Attacks on Smartphones Triple in 2024 — Kaspersky
• Presidential Decree No. 26-07 — ARPCE Official Publication
• National Information Systems Security Strategy 2025-2029 Unveiled — Algerie Presse Service