Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós MaaS d'Albiriox

Programari maliciós MaaS d'Albiriox

El Mezo el Programari maliciós mòbil, Troià bancari
Traduir a:

Una amenaça recentment apareguda per a Android, coneguda com a Albiriox, representa la darrera evolució en les operacions de frau en dispositius. Anunciada sota un model de programari maliciós com a servei, ofereix un extens conjunt d'eines per al control remot, l'abús automatitzat i la manipulació furtiva dels dispositius de les víctimes.

Una amenaça comercialitzada creada per al frau

Albiriox es comercialitza com una oferta MaaS completa dissenyada per donar suport al frau en dispositiu (ODF), la interacció de dispositius en temps real i la manipulació fluida de la pantalla. L'activitat inicial suggereix que els operadors van dur a terme inicialment una fase de reclutament limitada a finals de setembre de 2025 abans de passar a un desplegament comercial més ampli. Els indicadors relacionats amb les discussions en fòrums, l'ús de l'idioma i la infraestructura de suport apunten que els ciberdelinqüents de parla russa encapçalen el projecte.

Els desenvolupadors també proporcionen un creador personalitzat que, segons sembla, s'integra amb el servei de xifratge Golden Crypt, cosa que permet als clients evadir les eines antivirus i les defenses de seguretat mòbil.

Dirigint-se a un ampli panorama d’aplicacions

El programari maliciós conté una extensa llista codificada de més de 400 aplicacions dirigides. Aquestes abasten una àmplia gamma de categories sensibles, com ara banca, tecnologia financera, intercanvis de criptomonedes, processadors de pagaments, moneders digitals i plataformes de comerç en línia. Aquest ampli enfocament de segmentació s'alinea amb el seu objectiu de capturar credencials, iniciar transaccions fraudulentes i mantenir l'accés encobert a les aplicacions financeres.

Desplegament encobert mitjançant enginyeria social

La distribució depèn en gran mesura d'esquers enganyosos dissenyats per enganyar els usuaris perquè instal·lin droppers disfressats. Els atacants combinen temes d'enginyeria social amb tècniques d'empaquetament i ofuscació per eludir les eines d'anàlisi estàtica. Una campanya centrada en usuaris austríacs va utilitzar missatges SMS en alemany i URL escurçades que van conduir a pàgines falsificades de Google Play Store per a aplicacions com ara "PENNY Angebote & Coupons".

Les víctimes que van seleccionar el botó fals "Instal·la" van descarregar sense saber-ho un APK de dropper. Després del llançament, l'aplicació sol·licitava permís per instal·lar programari addicional, fent veure que iniciava una actualització rutinària. Aquesta acció va desencadenar el desplegament de la càrrega útil principal d'Albiriox.

Una campanya relacionada va redirigir les possibles víctimes a un lloc web fraudulent amb temàtica de PENNY, on se'ls demanava que proporcionessin el seu número de telèfon per rebre un enllaç de descàrrega de WhatsApp. Només s'acceptaven números austríacs i totes les sol·licituds s'enviaven a un bot de Telegram controlat pels operadors.

Control remot i funcionament encobert

Un cop actiu, Albiriox estableix comunicació amb el seu servidor de comandament i control a través d'un sòcol TCP sense xifrar. Això permet als actors amenaçadors enviar ordres utilitzades per a la interacció remota completa. Les capacitats clau inclouen:

  • Control de dispositius basat en VNC, compatible amb un mòdul d'accés remot addicional
  • Extracció a demanda de dades sensibles
  • Implementació de pantalla negra o en blanc per ocultar l'activitat maliciosa
  • Ajustaments de volum remots per mantenir el silenci operatiu

Una variant utilitza els serveis d'accessibilitat d'Android per presentar tots els elements de la interfície als operadors. Aquesta tècnica està dissenyada expressament per eludir les restriccions de la funció FLAG_SECURE d'Android, que impedeix les captures de pantalla i els enregistraments de pantalla en moltes aplicacions financeres.

Eludir les proteccions d’interfície contra el frau

El mecanisme de transmissió basat en l'accessibilitat ofereix als atacants una representació a nivell de node de la interfície del dispositiu. Com que evita les tècniques tradicionals de captura de pantalla, no activa les proteccions integrades que utilitzen les aplicacions bancàries i de criptomoneda. Com a resultat, els atacants obtenen una visibilitat persistent i sense restriccions de les pantalles sensibles.

Atacs superposats i recol·lecció de credencials

D'acord amb altres troians bancaris d'Android, Albiriox utilitza atacs de superposició vinculats a la seva llista codificada d'aplicacions objectiu. Aquestes superposicions apareixen com a panells d'inici de sessió o diàlegs de sistema legítims, cosa que permet un robatori de credencials eficaç. A més, el programari maliciós serveix pantalles enganyoses, com ara indicacions d'actualització falses o pantalles completament negres, per ocultar les seves activitats mentre es duen a terme operacions fraudulentes en segon pla.

Una plataforma ODF totalment equipada

Albiriox demostra totes les característiques distintives del programari maliciós avançat contra el frau en dispositiu. La seva combinació de manipulació remota basada en VNC, fluxos de treball d'automatització basats en l'accessibilitat, superposicions dirigides i tècniques de recol·lecció dinàmica permet als atacants eludir els controls d'autenticació i eludir els mecanismes convencionals de detecció de frau. En operar directament dins de la sessió legítima d'una víctima, el programari maliciós atorga als seus operadors un nivell de control excepcionalment alt i una oportunitat igualment significativa per a l'abús.

Tendència

Més vist

Carregant...