Зловреден софтуер Albiriox MaaS
Новопоявилата се заплаха за Android, известна като Albiriox, представлява най-новата еволюция в операциите за измами на устройства. Рекламирана по модела „зловреден софтуер като услуга“, тя предоставя богат набор от инструменти за дистанционно управление, автоматизирана злоупотреба и скрита манипулация на устройствата на жертвите.
Съдържание
Комерсиализирана заплаха, създадена за измама
Albiriox се предлага на пазара като пълнофункционално MaaS предложение, предназначено да поддържа измами на устройството (ODF), взаимодействие с устройства в реално време и безпроблемна манипулация на екрана. Ранната активност показва, че операторите първоначално са провели ограничена фаза на набиране на персонал в края на септември 2025 г., преди да преминат към по-широко търговско внедряване. Индикатори, свързани с дискусии във форуми, използване на езици и поддържаща инфраструктура, сочат към рускоговорящи киберпрестъпници, които са начело на проекта.
Разработчиците предоставят и персонализиран конструктор, който се интегрира с услугата за криптиране Golden Crypt, позволявайки на клиентите да заобикалят антивирусни инструменти и мобилни защити.
Насочване към широк пейзаж на приложенията
Зловредният софтуер вгражда обширен твърдо кодиран списък с над 400 целеви приложения. Те обхващат широк спектър от чувствителни категории, включително банкиране, финтех, борси за криптовалути, процесори за плащания, цифрови портфейли и платформи за онлайн търговия. Този широк подход за таргетиране е в съответствие с целта му за събиране на идентификационни данни, иницииране на измамни транзакции и поддържане на скрит достъп до финансови приложения.
Скрито внедряване чрез социално инженерство
Разпространението разчита до голяма степен на измамни примамки, предназначени да подведат потребителите да инсталират прикрити програми за сваляне на съдържание. Нападателите съчетават теми на социалното инженерство с техники за опаковане и обфускация, за да заобиколят инструментите за статичен анализ. Една кампания, фокусирана върху австрийски потребители, използва SMS съобщения на немски език и съкратени URL адреси, водещи до фалшиви страници в Google Play Store за приложения като „PENNY Angebote & Coupons“.
Жертвите, които са избрали фалшивия бутон „Инсталиране“, несъзнателно са изтеглили APK файл. След стартирането си приложението е поискало разрешение за инсталиране на допълнителен софтуер, преструвайки се, че инициира рутинна актуализация. Това действие е задействало внедряването на основния полезен товар на Albiriox.
Свързана кампания пренасочвала потенциални жертви към измамен уебсайт на тема PENNY, където те били подканвани да предоставят телефонния си номер, за да получат линк за изтегляне от WhatsApp. Приемали се само австрийски номера и всички заявки били изпращани до бот в Telegram, контролиран от операторите.
Дистанционно управление и скрита операция
След като е активен, Albiriox установява комуникация със своя сървър за командване и контрол чрез некриптиран TCP сокет. Това позволява на злонамерените лица да изпращат команди, използвани за пълно дистанционно взаимодействие. Ключовите възможности включват:
- VNC-базирано управление на устройства, поддържано от допълнителен модул за отдалечен достъп
- Извличане на чувствителни данни при поискване
- Разполагане на черен или празен екран за прикриване на злонамерена дейност
- Дистанционно регулиране на силата на звука за поддържане на оперативна скритост
Един вариант използва услугите за достъпност на Android, за да представи всички елементи на интерфейса на операторите. Тази техника е специално разработена, за да заобиколи ограниченията на функцията FLAG_SECURE на Android, която предотвратява създаването на екранни снимки и записи на екрана в много финансови приложения.
Заобикаляне на защитите на интерфейса за измами
Механизмът за стрийминг, базиран на достъпността, предоставя на нападателите представяне на интерфейса на устройството на ниво възел. Тъй като избягва традиционните техники за заснемане на дисплея, той не задейства вградените защити, използвани от банковите и криптовалутните приложения. В резултат на това нападателите получават постоянна, неограничена видимост на чувствителни екрани.
Атаки с наслагване и събиране на идентификационни данни
В съответствие с други банкови троянци за Android, Albiriox използва атаки с наслагване, свързани с неговия твърдо кодиран списък с целеви приложения. Тези наслагвания се появяват като легитимни панели за вход или системни диалози, което позволява ефективна кражба на идентификационни данни. Освен това, зловредният софтуер показва подвеждащи екрани, като например фалшиви подкани за актуализация или напълно черни дисплеи, за да скрие дейностите си, докато измамни операции протичат във фонов режим.
Напълно оборудвана ODF платформа
Albiriox демонстрира всички отличителни характеристики на усъвършенствания зловреден софтуер за измами на устройството. Неговата комбинация от VNC-базирана отдалечена манипулация, работни процеси за автоматизация, задвижвани от достъпност, целенасочени наслагвания и техники за динамично събиране на данни позволява на атакуващите да заобиколят контролите за удостоверяване и да се промъкнат покрай конвенционалните механизми за откриване на измами. Като действа директно в легитимната сесия на жертвата, зловредният софтуер предоставя на своите оператори изключително високо ниво на контрол и също толкова значителна възможност за злоупотреба.
