برامج Albiriox MaaS الضارة

يُمثل تهديدٌ جديدٌ لنظام أندرويد، يُعرف باسم Albiriox، أحدثَ تطورٍ في عمليات الاحتيال على الأجهزة. يُسوَّق له بنموذج "البرمجيات الخبيثة كخدمة"، ويوفر مجموعةً واسعةً من الأدوات للتحكم عن بُعد، والإساءة الآلية، والتلاعب الخفي بأجهزة الضحايا.

تهديد تجاري مصمم للاحتيال

يُسوّق Albiriox كخدمة متكاملة الميزات، مصممة لدعم مكافحة الاحتيال عبر الأجهزة (ODF)، والتفاعل الفوري مع الأجهزة، والتلاعب السلس بالشاشات. تشير الأنشطة المبكرة إلى أن المشغلين أجروا في البداية مرحلة توظيف محدودة في أواخر سبتمبر 2025 قبل الانتقال إلى طرح تجاري أوسع. تشير المؤشرات المرتبطة بمناقشات المنتديات، واستخدام اللغة، والبنية التحتية الداعمة، إلى أن مجرمي الإنترنت الناطقين بالروسية هم من يقودون المشروع.

ويوفر المطورون أيضًا منشئًا مخصصًا يقال إنه يتكامل مع خدمة التشفير Golden Crypt، مما يتيح للعملاء التهرب من أدوات مكافحة الفيروسات ودفاعات أمان الأجهزة المحمولة.

استهداف نطاق واسع من التطبيقات

يُضمّن البرنامج الخبيث قائمةً مُرمّزةً مُفصّلةً تضمّ أكثر من 400 تطبيق مُستهدف. تشمل هذه التطبيقات طيفًا واسعًا من الفئات الحساسة، بما في ذلك الخدمات المصرفية، والتكنولوجيا المالية، وبورصات العملات المشفرة، ومعالجات الدفع، والمحافظ الرقمية، ومنصات التداول عبر الإنترنت. يتماشى هذا النهج المُستهدف الواسع مع هدفه المُتمثّل في جمع بيانات الاعتماد، وبدء معاملات احتيالية، والحفاظ على وصول سري إلى التطبيقات المالية.

النشر السري من خلال الهندسة الاجتماعية

يعتمد التوزيع بشكل كبير على أساليب احتيالية مصممة لخداع المستخدمين وحملهم على تثبيت برامج تجسس مُقنّعة. يجمع المهاجمون بين سمات الهندسة الاجتماعية وتقنيات التغليف والتعتيم لتجاوز أدوات التحليل الثابتة. ركزت إحدى الحملات على المستخدمين النمساويين على استخدام رسائل نصية قصيرة باللغة الألمانية وعناوين URL مختصرة تؤدي إلى صفحات مزيفة على متجر جوجل بلاي لتطبيقات مثل "PENNY Angebote & Coupons".

قام الضحايا الذين ضغطوا على زر "تثبيت" مزيف بتنزيل ملف APK مُحمّل دون علمهم. بعد تشغيله، طلب التطبيق إذنًا لتثبيت برامج إضافية، متظاهرًا ببدء تحديث روتيني. أدى هذا الإجراء إلى نشر حمولة Albiriox الرئيسية.

أعادت حملة مماثلة توجيه الضحايا المحتملين إلى موقع إلكتروني احتيالي يحمل اسم "بيني"، حيث طُلب منهم إدخال أرقام هواتفهم لتلقي رابط تنزيل واتساب. قُبلت الأرقام النمساوية فقط، وأُرسلت جميع الطلبات إلى بوت تيليجرام يُسيطر عليه المشغلون.

التحكم عن بعد والتشغيل السري

بمجرد تفعيله، يُنشئ Albiriox اتصالاً مع خادم الأوامر والتحكم الخاص به عبر منفذ TCP غير مشفّر. يُمكّن هذا الجهات التخريبية من إرسال الأوامر المُستخدمة للتفاعل الكامل عن بُعد. تشمل الميزات الرئيسية ما يلي:

• التحكم في الأجهزة المستندة إلى VNC، مدعومة بوحدة وصول عن بعد إضافية
• استخراج البيانات الحساسة عند الطلب
• نشر شاشة سوداء أو فارغة لإخفاء النشاط الضار
• تعديلات مستوى الصوت عن بعد للحفاظ على التخفي التشغيلي

يستخدم أحد الخيارات خدمات إمكانية الوصول في أندرويد لعرض جميع عناصر الواجهة للمشغلين. صُممت هذه التقنية خصيصًا للتحايل على قيود ميزة FLAG_SECURE في أندرويد، التي تمنع التقاط لقطات الشاشة وتسجيلها في العديد من التطبيقات المالية.

تجاوز حماية الواجهة للاحتيال

تُتيح آلية البث المُدارة بإمكانية الوصول للمهاجمين تمثيلًا لواجهة الجهاز على مستوى العقدة. ولأنها تتجنب تقنيات التقاط الشاشة التقليدية، فإنها لا تُفعّل الحماية المُدمجة المُستخدمة في تطبيقات الخدمات المصرفية والعملات الرقمية. ونتيجةً لذلك، يحصل المهاجمون على رؤية مُستمرة وغير مُقيدة للشاشات الحساسة.

هجمات التراكب وحصاد بيانات الاعتماد

على غرار أحصنة طروادة مصرفية أخرى تستهدف نظام أندرويد، يستخدم Albiriox هجمات تراكبية مرتبطة بقائمة تطبيقاته المستهدفة المُبرمجة مسبقًا. تظهر هذه التراكبات كلوحات تسجيل دخول أو نوافذ حوار نظامية شرعية، مما يُتيح سرقة بيانات الاعتماد بفعالية. بالإضافة إلى ذلك، يُقدم البرنامج الخبيث شاشات مُضللة، مثل مطالبات التحديث الزائفة أو شاشات سوداء تمامًا، لإخفاء أنشطته بينما تستمر العمليات الاحتيالية في الخلفية.

منصة ODF مجهزة بالكامل

يُظهر Albiriox جميع الخصائص المميزة لبرامج الاحتيال الخبيثة المتقدمة على الأجهزة. فمزيجه من التلاعب عن بُعد القائم على VNC، وسير عمل الأتمتة القائمة على إمكانية الوصول، والتراكبات المُستهدفة، وتقنيات الحصاد الديناميكية، يُمكّن المهاجمين من التحايل على ضوابط المصادقة وتجاوز آليات كشف الاحتيال التقليدية. من خلال العمل مباشرةً داخل جلسة الضحية الشرعية، يمنح البرنامج الخبيث مُشغّليه مستوى تحكم عالٍ للغاية وفرصة كبيرة للاستغلال.