Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Malware Albiriox MaaS

Malware Albiriox MaaS

V roce Mezo v roce Mobilní malware, Bankovní Trojan
Přeložit do:

Nově se objevila hrozba pro Android, známá jako Albiriox, představuje nejnovější vývoj v oblasti podvodných operací na zařízeních. Inzerovaná v rámci modelu malware jako služba nabízí rozsáhlou sadu nástrojů pro vzdálené ovládání, automatizované zneužívání a nenápadnou manipulaci se zařízeními obětí.

Komercializovaná hrozba vytvořená pro podvod

Albiriox je prezentován jako plnohodnotná MaaS nabídka navržená pro podporu odstraňování podvodů na zařízeních (ODF), interakce se zařízeními v reálném čase a bezproblémové manipulace s obrazovkou. První aktivity naznačují, že operátoři zpočátku provedli omezenou náborovou fázi koncem září 2025, než přešli k širšímu komerčnímu zavedení. Indikátory spojené s diskuzemi na fórech, používáním jazyka a podpůrnou infrastrukturou naznačují, že v čele projektu stojí rusky mluvící kyberzločinci.

Vývojáři také poskytují vlastní nástroj pro tvorbu kryptů, který se údajně integruje s kryptovací službou Golden Crypt, což zákazníkům umožňuje obcházet antivirové nástroje a mobilní bezpečnostní obranu.

Zaměření na široké aplikační prostředí

Malware obsahuje rozsáhlý seznam více než 400 cílových aplikací. Ty zahrnují širokou škálu citlivých kategorií, včetně bankovnictví, fintechu, kryptoměnových burz, platebních procesorů, digitálních peněženek a online obchodních platforem. Tento široký cílový přístup je v souladu s jeho cílem zachycovat přihlašovací údaje, iniciovat podvodné transakce a udržovat skrytý přístup k finančním aplikacím.

Skryté nasazení pomocí sociálního inženýrství

Distribuce se silně spoléhá na klamavé návnady, jejichž cílem je přimět uživatele k instalaci maskovaných dropperů. Útočníci kombinují témata sociálního inženýrství s technikami balení a zamlžování, aby se vyhnuli nástrojům statické analýzy. Jedna kampaň zaměřená na rakouské uživatele používala německé SMS zprávy a zkrácené URL adresy vedoucí k padělaným stránkám Obchodu Google Play pro aplikace, jako je „PENNY Angebote & Coupons“.

Oběti, které klikly na falešné tlačítko „Instalovat“, si nevědomky stáhly soubor APK. Po spuštění aplikace požádala o povolení k instalaci dalšího softwaru a předstírala spuštění rutinní aktualizace. Tato akce spustila nasazení hlavního datového obsahu Albiriox.

Související kampaň přesměrovávala potenciální oběti na podvodné webové stránky s tématikou PENNY, kde byly vyzvány k zadání svého telefonního čísla, aby obdržely odkaz ke stažení aplikace WhatsApp. Akceptována byla pouze rakouská čísla a všechny odeslané údaje byly odeslány telegramovému botu ovládanému provozovateli.

Dálkové ovládání a skrytý provoz

Jakmile je Albiriox aktivní, naváže komunikaci se svým serverem Command-and-Control prostřednictvím nešifrovaného TCP socketu. To umožňuje útočníkům odesílat příkazy používané pro plnou vzdálenou interakci. Mezi klíčové funkce patří:

  • Ovládání zařízení na bázi VNC s podporou dalšího modulu pro vzdálený přístup
  • Extrakce citlivých dat na vyžádání
  • Nasazení černé nebo prázdné obrazovky pro zakrytí škodlivé aktivity
  • Dálkové nastavení hlasitosti pro zachování nenápadnosti provozu

Jedna varianta využívá služby usnadnění přístupu systému Android k zobrazení všech prvků rozhraní operátorům. Tato technika je záměrně navržena tak, aby obešla omezení funkce FLAG_SECURE systému Android, která brání pořizování snímků obrazovky a nahrávání obrazovky v mnoha finančních aplikacích.

Obcházení ochrany rozhraní proti podvodům

Mechanismus streamování založený na přístupnosti poskytuje útočníkům reprezentaci rozhraní zařízení na úrovni uzlů. Protože se vyhýbá tradičním technikám snímání displeje, neaktivuje vestavěné ochrany používané bankovními a kryptoměnovými aplikacemi. V důsledku toho útočníci získají trvalou a neomezenou viditelnost citlivých obrazovek.

Překryvné útoky a získávání přihlašovacích údajů

Stejně jako ostatní bankovní trojské koně pro Android používá Albiriox útoky typu overlay, které jsou vázány na jeho pevně zakódovaný seznam cílových aplikací. Tyto overlaye se zobrazují jako legitimní přihlašovací panely nebo systémové dialogy, což umožňuje efektivní krádež přihlašovacích údajů. Malware navíc zobrazuje zavádějící obrazovky, jako jsou falešné výzvy k aktualizaci nebo zcela černé displeje, aby skryl své aktivity, zatímco na pozadí probíhají podvodné operace.

Plně vybavená platforma ODF

Albiriox vykazuje všechny charakteristické rysy pokročilého malwaru pro detekci podvodů na zařízeních. Jeho kombinace vzdálené manipulace založené na VNC, automatizovaných pracovních postupů řízených přístupností, cílených překryvů a technik dynamického sběru dat umožňuje útočníkům obejít kontroly ověřování a proklouznout konvenčním mechanismům detekce podvodů. Tím, že malware působí přímo v legitimní relaci oběti, poskytuje svým operátorům mimořádně vysokou úroveň kontroly a stejně tak významnou příležitost ke zneužití.

Trendy

Příchozí zpráva pozastavena – podvod

Phishing, Spam
Kyberzločinci neustále zdokonalují podvodné metody založené na e-mailech a podvod „Příchozí zpráva pozastavena“ je dalším příkladem toho, jak přesvědčivě vytvořený spam dokáže nalákat nic netušící příjemce. Tato podvodná upozornění falešně tvrdí, že zprávy jsou z vaší schránky zadržovány, a snaží se vás donutit k přesměrování na phishingovou stránku. Je nezbytné si uvědomit, že tyto e-maily...

Nejvíce shlédnuto

Načítání...