Starry Addax et FlexStarling : un logiciel espion Android ciblant les activistes en Afrique du Nord

Publié le mars 22, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Cisco Talos a identifié un acteur de menace appelé Starry Addax déployant le logiciel espion Android personnalisé FlexStarling contre des cibles en Afrique du Nord, utilisant une infrastructure C2 basée sur Firebase pour échapper à la détection. L’Algérie a enregistré plus de 70 millions de cyberattaques en 2024, se classant 17e mondial, tandis que les attaques par chevaux de Troie bancaires sur smartphones ont bondi de 196 % à l’échelle mondiale.

En résumé : Les entreprises algériennes et les fournisseurs de services bancaires mobiles devraient immédiatement auditer leur posture de sécurité mobile et déployer des solutions de défense contre les menaces mobiles, face à des campagnes de logiciels espions de plus en plus sophistiquées et ciblées dans la région.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
▾

L’Algérie est directement citée parmi les pays les plus cyberattaqués en 2024, avec 70 millions d’attaques enregistrées. La campagne Starry Addax cible spécifiquement l’Afrique du Nord, et l’écosystème bancaire mobile en expansion de l’Algérie partage les mêmes vulnérabilités exploitées par cet acteur de menace : dominance d’Android et déficit de sensibilisation à la sécurité.

Calendrier d’action
Immédiat
▾

FlexStarling est activement déployé contre des cibles nord-africaines et le paysage des menaces mobiles s’aggrave avec une hausse de 196 % des chevaux de Troie bancaires au niveau mondial. Les organisations algériennes ne peuvent pas attendre la mise en œuvre des futures politiques pour agir sur la sécurité mobile.

Parties prenantes clés
Équipes de sécurité en entreprise, utilisateurs de banque mobile, régulateurs financiers, opérateurs télécoms, ASSI, DZ-CERT

Type de décision
Tactique
▾

Cet article fournit des renseignements spécifiques et exploitables sur une menace active dans la région algérienne, nécessitant des mesures défensives concrètes plutôt qu’une planification stratégique à long terme.

Niveau de priorité
Critique
▾

L’Algérie fait face à une campagne de menace mobile active et sophistiquée dans sa région alors que l’adoption de la banque mobile s’accélère. L’écart entre la sophistication des menaces et la préparation défensive crée un risque immédiat pour des millions d’utilisateurs.

En bref : Les équipes de sécurité des entreprises algériennes devraient déployer des solutions de défense contre les menaces mobiles et mener des formations ciblées de sensibilisation à la sécurité sur le harponnage et le sideloading d’APK malveillants dans les 30 prochains jours. Les utilisateurs individuels devraient immédiatement auditer leurs applications installées, désactiver les sources inconnues et passer de l’authentification à deux facteurs par SMS à une authentification par application. Les régulateurs financiers devraient accélérer l’adoption de normes de sécurité minimales pour les applications bancaires mobiles avant l’arrivée de la prochaine vague de chevaux de Troie bancaires spécifiques à la région.

Une menace mobile ciblée arrive en Afrique du Nord

Les chercheurs de Cisco Talos ont identifié un acteur de menace appelé Starry Addax en avril 2024, révélant une campagne ciblant spécifiquement des militants des droits humains associés à la cause de la République arabe sahraouie démocratique (RASD) en Afrique du Nord. Le groupe déploie un logiciel espion Android personnalisé appelé FlexStarling par le biais d’e-mails de harponnage (spear-phishing) qui incitent les victimes à installer une application mobile trojanisée.

Ce qui rend Starry Addax significatif pour le paysage cybersécuritaire algérien ne réside pas seulement dans ses cibles immédiates, mais dans ce qu’il révèle sur l’environnement des menaces mobiles dans la région. Les outils sur mesure du groupe, l’ingénierie sociale adaptée à la région et ses techniques d’évasion délibérées démontrent un niveau de sophistication qui préfigure les types de menaces auxquelles l’écosystème mobile en pleine expansion de l’Algérie sera de plus en plus confronté.

L’Algérie a enregistré plus de 70 millions de cyberattaques en 2024, se classant au 17e rang mondial parmi les pays les plus ciblés selon Kaspersky. La firme a également bloqué plus de 13 millions de tentatives de phishing et près de 750 000 pièces jointes malveillantes ciblant les utilisateurs algériens au cours de la même période.

Comment Starry Addax opère

Starry Addax est actif depuis janvier 2024, concentrant ses opérations sur des individus sympathisants de la cause de la RASD au Maroc et dans la région du Sahara occidental. Le nom du groupe suit la convention de nommage en cybersécurité qui combine un animal originaire de la région ciblée avec un modificateur descriptif. L’addax est une antilope saharienne en danger critique d’extinction, et « starry » fait référence à la famille de malwares FlexStarling du groupe.

La chaîne d’infection de la campagne commence par des e-mails de harponnage qui incitent les cibles à installer ce qui semble être l’application mobile du Sahara Press Service (SPSRASD) ou un leurre similaire lié au contexte du Sahara occidental. L’infrastructure de phishing du groupe s’adapte en fonction du système d’exploitation de la victime : les utilisateurs Android reçoivent l’APK FlexStarling, tandis que les utilisateurs Windows sont redirigés vers une page de connexion aux réseaux sociaux conçue pour voler leurs identifiants.

Ce qui distingue Starry Addax des cybercriminels opportunistes est son investissement dans un outillage personnalisé. Tous les composants, du malware à l’infrastructure opérationnelle, semblent avoir été conçus sur mesure pour cette campagne spécifique plutôt que de s’appuyer sur des outils disponibles sur les forums clandestins. Cela indique une opération bien dotée en ressources, avec un objectif délibéré de furtivité.

FlexStarling : capacités techniques

FlexStarling est un logiciel espion Android conçu pour extraire des informations sensibles des appareils compromis tout en échappant à la détection. Lors de l’installation, l’APK malveillant demande des permissions étendues au système d’exploitation Android, incluant l’accès aux messages SMS, aux journaux d’appels, aux contacts, au stockage externe, à l’enregistrement audio, aux informations d’état du téléphone et à la connectivité réseau.

L’infrastructure de commande et contrôle du malware repose sur Firebase, la plateforme de développement mobile de Google, plutôt que sur des serveurs C2 traditionnels. Ce choix architectural est délibéré : les communications basées sur Firebase se fondent dans le trafic légitime des applications, rendant la détection au niveau réseau considérablement plus difficile pour les outils de sécurité.

FlexStarling intègre des fonctionnalités anti-analyse qui vérifient les informations BUILD pour détecter des mots-clés indiquant que le malware s’exécute sur un émulateur ou un bac à sable d’analyse. Cela complique les efforts de rétro-ingénierie des chercheurs en sécurité. Une fois installé sur un appareil, FlexStarling peut recevoir des commandes de son C2 pour activer ou désactiver des fonctionnalités, déployer des composants malveillants supplémentaires et exfiltrer les données collectées.

Les permissions demandées, en particulier READ_SMS, READ_CONTACTS et READ_CALL_LOG, sont particulièrement dangereuses dans le contexte algérien où le SMS reste le mécanisme principal d’authentification à deux facteurs pour la plupart des services bancaires et financiers. Si des techniques similaires étaient appliquées à grande échelle contre les utilisateurs de services bancaires mobiles, les appareils compromis pourraient donner aux attaquants la capacité d’intercepter les messages OTP et de contourner l’authentification à deux facteurs.

Pourquoi l’écosystème mobile algérien est vulnérable

Starry Addax cible un créneau spécifique, mais les vulnérabilités qu’il exploite sont systémiques à travers le paysage mobile algérien.

La dominance d’Android crée une large surface d’attaque. Android détient plus de 87 % de parts de marché en Algérie. Si l’ouverture d’Android est un atout pour les utilisateurs et les développeurs, elle permet l’installation d’applications depuis n’importe quelle source, rendant les utilisateurs vulnérables aux malwares chargés latéralement via le phishing. De nombreux appareils dans la région fonctionnent sous des versions d’Android obsolètes qui ne reçoivent plus de correctifs de sécurité, créant une large population de smartphones en permanence vulnérables.

Les services financiers mobiles se développent rapidement. Des services comme BaridiMob (la plateforme bancaire mobile d’Algerie Poste, qui a lancé les paiements sans contact Baridi Pay en juin 2025), les applications mobiles CCP et les plateformes fintech émergentes intègrent des millions d’utilisateurs auparavant exclusivement en espèces dans le système financier numérique. Chaque nouvel utilisateur de banque mobile représente une cible potentielle, et la transition dépasse la sensibilisation à la sécurité.

Les chevaux de Troie bancaires sont en forte augmentation à l’échelle mondiale. Kaspersky a signalé que les attaques par chevaux de Troie bancaires sur smartphones ont bondi de 196 % en 2024, et les détections de chevaux de Troie bancaires mobiles au premier semestre 2025 étaient près de quatre fois supérieures à celles de la même période de l’année précédente. Des familles actives comme Cerberus, Anubis et le cheval de Troie Grandoreiro, documenté comme affectant l’Algérie parmi d’autres pays africains, superposent de faux écrans de connexion sur les applications bancaires légitimes pour capturer les identifiants.

Les réseaux sociaux servent de canal de distribution pour le phishing. Avec plus de 25 millions d’utilisateurs Facebook en Algérie début 2025, selon les données publicitaires de Meta, les plateformes de réseaux sociaux constituent un vecteur majeur de distribution des campagnes de phishing. WhatsApp, omniprésent en Algérie, amplifie la menace car les liens malveillants partagés par des contacts personnels bénéficient d’une confiance implicite.

Le cadre défensif de l’Algérie

L’Algérie développe ses capacités institutionnelles en cybersécurité, bien que l’Union internationale des télécommunications classe le pays au Tier 3 (« en développement ») dans son Indice mondial de cybersécurité 2024, reflétant un engagement structuré encore en phase de consolidation.

Stratégie nationale de cybersécurité 2025-2029. Approuvée par le président Tebboune via le décret présidentiel n° 25-321 du 30 décembre 2025, et dévoilée par l’ASSI (l’Agence de sécurité des systèmes d’information, rattachée au ministère de la Défense nationale) le 3 mars 2026, la stratégie poursuit trois objectifs principaux : protéger les infrastructures critiques, sécuriser les données sensibles de l’État et assurer la continuité des services publics. Elle met l’accent sur le renforcement des capacités techniques, l’amélioration de la coordination interinstitutionnelle et le renforcement de la prévention et de la réponse aux cyber-incidents.

Décret présidentiel 26-07. Signé le 7 janvier 2026 et publié au Journal officiel le 21 janvier, ce décret impose à chaque institution publique la création d’une unité de cybersécurité dédiée, distincte de la gestion informatique, rattachée directement au responsable de l’institution. Les unités doivent concevoir des politiques de cybersécurité, réaliser une cartographie des risques, déployer des plans de remédiation et assurer la conformité à la législation sur la protection des données personnelles. Cela crée des structures de responsabilité qui n’existaient pas auparavant dans la plupart des institutions publiques.

Architecture institutionnelle. Le cadre de cybersécurité algérien s’articule autour de trois entités : l’ASSI en tant qu’agence technique opérationnelle avec son centre d’opérations CNOSSI, le CNSSI en tant qu’organe stratégique (créé par la loi n° 20-05 de 2020) et le DZ-CERT en tant qu’équipe nationale de réponse aux incidents informatiques hébergée par le CERIST, membre de FIRST et d’AfricaCERT.

Cependant, la mise en œuvre reste le chaînon critique. De nombreuses institutions manquent de budget, d’expertise ou d’engagement organisationnel pour opérationnaliser pleinement les unités de cybersécurité mandatées par le décret 26-07. L’asymétrie entre les outils professionnels utilisés par des groupes comme Starry Addax et la posture de sécurité par défaut de nombreuses organisations algériennes reste frappante.

Défenses pratiques pour les utilisateurs et entreprises algériens

Pour les utilisateurs individuels : Installez les applications uniquement depuis le Google Play Store et désactivez « l’installation depuis des sources inconnues » dans les paramètres Android. Vérifiez les permissions des applications avant l’installation. Maintenez vos appareils à jour avec les derniers correctifs de sécurité. Lorsque les services le permettent, utilisez des applications d’authentification (Google Authenticator, Microsoft Authenticator) plutôt que les SMS pour l’authentification à deux facteurs, car les applications d’authentification sont immunisées contre l’interception des SMS et les attaques par échange de carte SIM.

Pour les équipes de sécurité en entreprise : Déployez des solutions de gestion des appareils mobiles (MDM) pour appliquer le chiffrement, les listes blanches d’applications et les capacités d’effacement à distance. Investissez dans des outils de défense contre les menaces mobiles (MTD) capables de détecter les applications malveillantes et les attaques au niveau réseau. Menez des formations régulières de sensibilisation à la sécurité ciblant spécifiquement le phishing mobile et la vérification des applications. Élaborez des procédures de réponse aux incidents pour les compromissions d’appareils mobiles.

Pour les institutions nationales : Renforcez le partage de renseignements sur les menaces entre le DZ-CERT, l’ASSI et les homologues internationaux pour permettre une détection plus rapide de campagnes comme celle de Starry Addax. Priorisez l’éducation à la sécurité mobile dans les campagnes de sensibilisation publique, en ciblant particulièrement les populations qui adoptent nouvellement les services financiers mobiles. Imposez des normes de sécurité minimales pour les applications bancaires mobiles, incluant l’obfuscation de code, le certificate pinning et la protection d’application en temps d’exécution (RASP).

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Qu’est-ce que Starry Addax et qui cible-t-il ?

Starry Addax est un acteur de menace identifié par Cisco Talos en avril 2024 qui cible des militants des droits humains associés à la cause de la République arabe sahraouie démocratique (RASD) en Afrique du Nord. Le groupe utilise un logiciel espion Android personnalisé appelé FlexStarling, distribué par des e-mails de harponnage qui se font passer pour l’application mobile du Sahara Press Service. Si ses cibles actuelles sont spécifiques, les techniques qu’il emploie sont applicables à tout utilisateur mobile de la région.

Comment FlexStarling échappe-t-il à la détection sur les appareils Android ?

FlexStarling utilise une infrastructure de commande et contrôle basée sur Firebase plutôt que des serveurs C2 traditionnels, ce qui permet à ses communications réseau de se fondre dans le trafic légitime des applications. Le malware intègre également des fonctionnalités anti-analyse qui détectent lorsqu’il s’exécute sur un émulateur ou un bac à sable de sécurité, empêchant les chercheurs d’étudier facilement son comportement. Tous les composants sont conçus sur mesure pour cette campagne spécifique, sans s’appuyer sur des boîtes à outils de malwares disponibles publiquement.

Que doivent faire les utilisateurs algériens de banque mobile pour se protéger ?

La défense la plus efficace consiste à installer les applications uniquement depuis le Google Play Store et à désactiver le paramètre « installation depuis des sources inconnues » sur les appareils Android. Les utilisateurs devraient passer de l’authentification à deux facteurs par SMS aux applications d’authentification comme Google Authenticator, qui sont immunisées contre l’interception des SMS. Maintenir les appareils à jour avec les derniers correctifs de sécurité est également essentiel, et les utilisateurs doivent se méfier de tout message créant un sentiment d’urgence pour télécharger une application ou cliquer sur un lien.