Rabattilbud med flere licenser
Trusseldatabase Mobil malware Albiriox MaaS-malware

Albiriox MaaS-malware

Med Mezo i Mobil malware, Bank Trojan
Oversæt til:

En nyligt dukket Android-trussel, kendt som Albiriox, repræsenterer den seneste udvikling inden for svindel på enheder. Den annonceres under en malware-as-a-service-model og leverer et omfattende værktøjssæt til fjernstyring, automatiseret misbrug og diskret manipulation af ofrenes enheder.

En kommercialiseret trussel bygget til svindel

Albiriox markedsføres som et fuldt udstyret MaaS-tilbud designet til at understøtte svindel på enheder (ODF), interaktion i realtid med enheder og problemfri skærmmanipulation. Tidlig aktivitet tyder på, at operatørerne oprindeligt gennemførte en begrænset rekrutteringsfase i slutningen af september 2025, før de overgik til en bredere kommerciel udrulning. Indikatorer knyttet til forumdiskussioner, sprogbrug og understøttende infrastruktur peger på, at russisktalende cyberkriminelle står i spidsen for projektet.

Udviklerne tilbyder også en brugerdefineret builder, der angiveligt integrerer med krypteringstjenesten Golden Crypt, hvilket gør det muligt for kunder at omgå antivirusværktøjer og mobile sikkerhedsforsvar.

Målretning mod et bredt applikationslandskab

Malwaren integrerer en omfattende, hardkodet liste med mere end 400 målrettede applikationer. Disse spænder over en bred vifte af følsomme kategorier, herunder bankvirksomhed, fintech, kryptovalutabørser, betalingsprocessorer, digitale tegnebøger og online handelsplatforme. Denne brede målretningstilgang stemmer overens med dens mål om at indsamle legitimationsoplysninger, igangsætte svigagtige transaktioner og opretholde skjult adgang til finansielle apps.

Hemmelig implementering gennem social engineering

Distributionen er i høj grad afhængig af vildledende lokkemidler, der er designet til at narre brugere til at installere forklædte droppere. Angribere kombinerer social engineering-temaer med paknings- og obfuskationsteknikker for at omgå statiske analyseværktøjer. En kampagne fokuseret på østrigske brugere anvendte tysksprogede SMS-beskeder og forkortede URL'er, der førte til forfalskede Google Play Store-sider til apps som 'PENNY Angebote & Coupons'.

Ofre, der valgte den falske 'Installer'-knap, downloadede ubevidst en dropper APK. Efter lanceringen anmodede appen om tilladelse til at installere yderligere software og foregav at starte en rutinemæssig opdatering. Denne handling udløste implementeringen af den primære Albiriox-nyttelast.

En relateret kampagne omdirigerede potentielle ofre til en falsk hjemmeside med PENNY-tema, hvor de blev bedt om at oplyse deres telefonnummer for at modtage et WhatsApp-downloadlink. Kun østrigske numre blev accepteret, og alle indsendelser blev sendt til en Telegram-bot kontrolleret af operatørerne.

Fjernbetjening og skjult betjening

Når den er aktiv, etablerer Albiriox kommunikation med sin Command-and-Control-server via en ukrypteret TCP-socket. Dette gør det muligt for trusselsaktører at sende kommandoer, der bruges til fuld fjerninteraktion. Nøglefunktioner inkluderer:

  • VNC-baseret enhedsstyring, understøttet af et ekstra fjernadgangsmodul
  • Udtræk af følsomme data efter behov
  • Implementering af sort eller blank skærm for at skjule ondsindet aktivitet
  • Fjernjustering af lydstyrke for at opretholde operationel diskrethed

En variant bruger Androids tilgængelighedstjenester til at præsentere alle grænsefladeelementer for operatørerne. Denne teknik er specifikt designet til at omgå begrænsningerne i Androids FLAG_SECURE-funktion, som forhindrer skærmbilleder og skærmoptagelser i mange finansielle applikationer.

Omgåelse af grænsefladebeskyttelse mod svindel

Den tilgængelighedsdrevne streamingmekanisme giver angribere en repræsentation af enhedens grænseflade på nodeniveau. Fordi den undgår traditionelle skærmoptagelsesteknikker, udløser den ikke indbyggede beskyttelser, der anvendes af bank- og kryptovalutaapps. Som et resultat får angriberne vedvarende, ubegrænset synlighed af følsomme skærme.

Overlay-angreb og indsamling af legitimationsoplysninger

I overensstemmelse med andre Android-banktrojanere anvender Albiriox overlay-angreb knyttet til sin hardcodede liste over målrettede applikationer. Disse overlays vises som legitime loginpaneler eller systemdialoger, hvilket muliggør effektiv tyveri af legitimationsoplysninger. Derudover bruger malwaren vildledende skærme, såsom falske opdateringsprompter eller helt sorte skærme, til at skjule sine aktiviteter, mens svigagtige operationer foregår i baggrunden.

En fuldt udstyret ODF-platform

Albiriox demonstrerer alle kendetegnene for avanceret svindelmalware på enheder. Dens blanding af VNC-baseret fjernmanipulation, tilgængelighedsdrevne automatiseringsworkflows, målrettede overlays og dynamiske høstningsteknikker giver angribere mulighed for at omgå godkendelseskontroller og slippe forbi konventionelle svindeldetekteringsmekanismer. Ved at operere direkte i et offers legitime session giver malwaren sine operatører et usædvanligt højt niveau af kontrol og en lige så betydelig mulighed for misbrug.

Trending

Mest sete

Indlæser...