Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Κακόβουλο λογισμικό Albiriox MaaS

Κακόβουλο λογισμικό Albiriox MaaS

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Μετάφραση σε:

Μια πρόσφατα εμφανιζόμενη απειλή για Android, γνωστή ως Albiriox, αντιπροσωπεύει την τελευταία εξέλιξη στις επιχειρήσεις απάτης σε συσκευές. Διαφημιζόμενη με το μοντέλο malware-as-a-service, παρέχει ένα εκτενές σύνολο εργαλείων για τηλεχειρισμό, αυτοματοποιημένη κατάχρηση και κρυφό χειρισμό των συσκευών των θυμάτων.

Μια εμπορευματοποιημένη απειλή που έχει σχεδιαστεί για απάτη

Το Albiriox διατίθεται στην αγορά ως μια πλήρης προσφορά MaaS, σχεδιασμένη να υποστηρίζει την απάτη σε συσκευή (ODF), την αλληλεπίδραση της συσκευής σε πραγματικό χρόνο και τον απρόσκοπτο χειρισμό της οθόνης. Οι πρώτες δραστηριότητες υποδηλώνουν ότι οι φορείς εκμετάλλευσης αρχικά διεξήγαγαν μια περιορισμένη φάση στρατολόγησης στα τέλη Σεπτεμβρίου 2025, προτού μεταβούν σε μια ευρύτερη εμπορική ανάπτυξη. Δείκτες που συνδέονται με συζητήσεις σε φόρουμ, χρήση γλώσσας και υποστηρικτική υποδομή υποδεικνύουν ότι οι ρωσόφωνοι κυβερνοεγκληματίες ηγούνται του έργου.

Οι προγραμματιστές παρέχουν επίσης ένα προσαρμοσμένο εργαλείο δημιουργίας που φέρεται να ενσωματώνεται με την υπηρεσία κρυπτογράφησης Golden Crypt, επιτρέποντας στους πελάτες να αποφεύγουν τα εργαλεία προστασίας από ιούς και τις άμυνες ασφάλειας για κινητά.

Στόχευση σε ένα ευρύ πεδίο εφαρμογών

Το κακόβουλο λογισμικό ενσωματώνει μια εκτενή λίστα με περισσότερες από 400 στοχευμένες εφαρμογές. Αυτές καλύπτουν ένα ευρύ φάσμα ευαίσθητων κατηγοριών, όπως τραπεζικές εργασίες, fintech, ανταλλακτήρια κρυπτονομισμάτων, επεξεργαστές πληρωμών, ψηφιακά πορτοφόλια και πλατφόρμες ηλεκτρονικών συναλλαγών. Αυτή η ευρεία προσέγγιση στόχευσης ευθυγραμμίζεται με τον στόχο της, την καταγραφή διαπιστευτηρίων, την έναρξη δόλιων συναλλαγών και τη διατήρηση μυστικής πρόσβασης σε οικονομικές εφαρμογές.

Μυστική Ανάπτυξη Μέσω Κοινωνικής Μηχανικής

Η διανομή βασίζεται σε μεγάλο βαθμό σε παραπλανητικά δολώματα που έχουν σχεδιαστεί για να ξεγελούν τους χρήστες ώστε να εγκαταστήσουν μεταμφιεσμένα droppers. Οι εισβολείς συνδυάζουν θέματα κοινωνικής μηχανικής με τεχνικές συσκευασίας και απόκρυψης για να παρακάμψουν τα εργαλεία στατικής ανάλυσης. Μια καμπάνια που επικεντρώθηκε σε Αυστριακούς χρήστες χρησιμοποίησε μηνύματα SMS στη γερμανική γλώσσα και συντομευμένες διευθύνσεις URL που οδηγούσαν σε πλαστές σελίδες Google Play Store για εφαρμογές όπως το «PENNY Angebote & Coupons».

Τα θύματα που επέλεξαν το ψεύτικο κουμπί «Εγκατάσταση» κατέβασαν εν αγνοία τους ένα αρχείο APK τύπου dropper. Μετά την εκκίνηση, η εφαρμογή ζήτησε άδεια για την εγκατάσταση πρόσθετου λογισμικού, προσποιούμενη ότι ξεκίνησε μια τακτική ενημέρωση. Αυτή η ενέργεια ενεργοποίησε την ανάπτυξη του κύριου φορτίου του Albiriox.

Μια σχετική καμπάνια ανακατεύθυνε πιθανά θύματα σε έναν δόλιο ιστότοπο με θέμα το PENNY, όπου τους ζητήθηκε να δώσουν τον αριθμό τηλεφώνου τους για να λάβουν έναν σύνδεσμο λήψης στο WhatsApp. Γίνονταν δεκτοί μόνο αυστριακοί αριθμοί και όλες οι υποβολές αποστέλλονταν σε ένα bot Telegram που ελέγχεται από τους παρόχους.

Τηλεχειριστήριο και Κρυφή Λειτουργία

Μόλις ενεργοποιηθεί, το Albiriox επικοινωνεί με τον διακομιστή Command‑and‑Control μέσω μιας μη κρυπτογραφημένης υποδοχής TCP. Αυτό επιτρέπει στους απειλητικούς παράγοντες να προωθούν εντολές που χρησιμοποιούνται για πλήρη απομακρυσμένη αλληλεπίδραση. Οι βασικές δυνατότητες περιλαμβάνουν:

  • Έλεγχος συσκευής που βασίζεται σε VNC, υποστηριζόμενος από μια πρόσθετη μονάδα απομακρυσμένης πρόσβασης
  • Εξαγωγή ευαίσθητων δεδομένων κατ' απαίτηση
  • Ανάπτυξη μαύρης ή κενής οθόνης για την απόκρυψη κακόβουλης δραστηριότητας
  • Απομακρυσμένες ρυθμίσεις έντασης ήχου για διατήρηση της λειτουργικής μυστικότητας

Μία παραλλαγή χρησιμοποιεί τις υπηρεσίες προσβασιμότητας του Android για να παρουσιάσει όλα τα στοιχεία διεπαφής στους χειριστές. Αυτή η τεχνική έχει σχεδιαστεί ειδικά για να παρακάμπτει τους περιορισμούς της λειτουργίας FLAG_SECURE του Android, η οποία αποτρέπει τα στιγμιότυπα οθόνης και τις εγγραφές οθόνης σε πολλές οικονομικές εφαρμογές.

Παράκαμψη προστασιών διεπαφής για απάτη

Ο μηχανισμός ροής που βασίζεται στην προσβασιμότητα παρέχει στους εισβολείς μια αναπαράσταση της διεπαφής της συσκευής σε επίπεδο κόμβου. Επειδή αποφεύγει τις παραδοσιακές τεχνικές καταγραφής οθόνης, δεν ενεργοποιεί τις ενσωματωμένες προστασίες που χρησιμοποιούνται από τραπεζικές εφαρμογές και εφαρμογές κρυπτονομισμάτων. Ως αποτέλεσμα, οι εισβολείς αποκτούν συνεχή, απεριόριστη ορατότητα ευαίσθητων οθονών.

Επιθέσεις επικάλυψης και συλλογή διαπιστευτηρίων

Όπως και άλλα trojan τραπεζικών εφαρμογών Android, το Albiriox χρησιμοποιεί επιθέσεις επικάλυψης που συνδέονται με την ενσωματωμένη λίστα στοχευμένων εφαρμογών του. Αυτές οι επικαλύψεις εμφανίζονται ως νόμιμα πλαίσια σύνδεσης ή παράθυρα διαλόγου συστήματος, επιτρέποντας την αποτελεσματική κλοπή διαπιστευτηρίων. Επιπλέον, το κακόβουλο λογισμικό προβάλλει παραπλανητικές οθόνες, όπως ψεύτικες προτροπές ενημέρωσης ή εντελώς μαύρες οθόνες, για να κρύψει τις δραστηριότητές του ενώ οι δόλιες λειτουργίες συνεχίζονται στο παρασκήνιο.

Μια πλήρως εξοπλισμένη πλατφόρμα ODF

Το Albiriox επιδεικνύει όλα τα χαρακτηριστικά γνωρίσματα του προηγμένου κακόβουλου λογισμικού απάτης που βρίσκεται στη συσκευή. Ο συνδυασμός απομακρυσμένης χειραγώγησης που βασίζεται σε VNC, ροών εργασίας αυτοματοποίησης με γνώμονα την προσβασιμότητα, στοχευμένων επικαλύψεων και τεχνικών δυναμικής συλλογής επιτρέπει στους εισβολείς να παρακάμπτουν τους ελέγχους ελέγχου ταυτότητας και να ξεφεύγουν από τους συμβατικούς μηχανισμούς ανίχνευσης απάτης. Λειτουργώντας απευθείας μέσα στην νόμιμη συνεδρία ενός θύματος, το κακόβουλο λογισμικό παρέχει στους χειριστές του ένα εξαιρετικά υψηλό επίπεδο ελέγχου και μια εξίσου σημαντική ευκαιρία για κατάχρηση.

Τάσεις

Απάτη SafariBookings

Phishing, Ανεπιθύμητη αλληλογραφία
Οι κυβερνοεγκληματίες εκμεταλλεύονται τον ταξιδιωτικό κλάδο με μια καμπάνια ηλεκτρονικού "ψαρέματος" (phishing) γνωστή ως απάτη SafariBookings. Αυτά τα email δεν συνδέονται με καμία νόμιμη εταιρεία, οργανισμό ή πάροχο υπηρεσιών. Έχουν σχεδιαστεί για να εμφανίζονται ως επίσημα μηνύματα από μια υπηρεσία κρατήσεων ταξιδιών, αλλά ο μοναδικός σκοπός τους είναι να εξαπατήσουν τους παραλήπτες ώστε να...

Απάτη με παύση εισερχόμενου μηνύματος

Phishing, Ανεπιθύμητη αλληλογραφία
Οι κυβερνοεγκληματίες συνεχίζουν να βελτιώνουν την εξαπάτηση που βασίζεται σε email και η απάτη «Παύση Εισερχόμενων Μηνυμάτων» είναι ένα ακόμη παράδειγμα του πώς τα πειστικά σχεδιασμένα ανεπιθύμητα μηνύματα μπορούν να δελεάσουν ανυποψίαστους παραλήπτες. Αυτές οι δόλιες ειδοποιήσεις ισχυρίζονται ψευδώς ότι τα μηνύματα αποκρύπτονται από τα εισερχόμενά σας και επιχειρούν να σας ωθήσουν προς μια...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
30,345
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...