Albiriox MaaS pahavara
Hiljuti ilmsiks tulnud Androidi oht, tuntud kui Albiriox, esindab seadmesiseste pettuste viimast arengut. Reklaamitud pahavara teenusena mudeli all pakub see ulatuslikku tööriistakomplekti ohvrite seadmete kaugjuhtimiseks, automatiseeritud kuritarvitamiseks ja salajaseks manipuleerimiseks.
Sisukord
Pettuseks loodud kommertsialiseeritud oht
Albirioxi turustatakse täisfunktsionaalse MaaS-pakkumisena, mis on loodud toetama seadmepõhist pettust (ODF), reaalajas seadme interaktsiooni ja sujuvat ekraanimanipulatsiooni. Esialgne tegevus näitab, et operaatorid viisid enne laiemale kommertslikule turuletoomisele üleminekut 2025. aasta septembri lõpus läbi piiratud värbamisfaasi. Foorumiarutelude, keelekasutuse ja toetava infrastruktuuriga seotud näitajad viitavad sellele, et projekti juhivad venekeelsed küberkurjategijad.
Arendajad pakuvad ka kohandatud koostajat, mis väidetavalt integreerub krüpteerimisteenusega Golden Crypt, võimaldades klientidel vältida viirusetõrjetööriistu ja mobiilseadmete turvakaitset.
Laia rakendusmaastiku sihtimine
Pahavara sisaldab ulatuslikku ja enam kui 400 sihtrakendusest koosnevat nimekirja. Need hõlmavad laia valikut tundlikke kategooriaid, sealhulgas pangandust, finantstehnoloogiat, krüptovaluutabörse, maksetöötlejaid, digitaalseid rahakotte ja veebipõhiseid kauplemisplatvorme. See lai sihtimisviis on kooskõlas eesmärgiga jäädvustada volitusi, algatada petturlikke tehinguid ja säilitada salajast juurdepääsu finantsrakendustele.
Salajane juurutamine sotsiaalse inseneritöö abil
Levitamine tugineb suuresti petlikele peibutistele, mis on loodud selleks, et meelitada kasutajaid varjatud droppereid installima. Ründajad ühendavad sotsiaalse manipuleerimise teemasid pakkimis- ja hägustamistehnikatega, et staatilise analüüsi tööriistadest mööda hiilida. Üks Austria kasutajatele suunatud kampaania kasutas saksakeelseid SMS-sõnumeid ja lühendatud URL-e, mis viisid võltsitud Google Play poe lehtedele selliste rakenduste jaoks nagu „PENNY Angebote & Coupons”.
Võltsitud nupu „Installi” valinud ohvrid laadisid teadmatult alla dropper-APK. Pärast käivitamist küsis rakendus luba täiendava tarkvara installimiseks, teeseldes, et algatab rutiinse värskenduse. See toiming käivitas Albirioxi peamise kasuliku koormuse juurutamise.
Seotud kampaania suunas potentsiaalsed ohvrid petturlikule PENNY-teemalisele veebisaidile, kus neil paluti WhatsAppi allalaadimislingi saamiseks sisestada oma telefoninumber. Vastu võeti ainult Austria numbreid ja kõik esildised saadeti operaatorite kontrollitavale Telegrami robotile.
Kaugjuhtimine ja varjatud operatsioon
Kui Albiriox on aktiivne, loob see ühenduse oma Command-and-Control serveriga krüpteerimata TCP-sokli kaudu. See võimaldab ohutegelastel edastada käske täielikuks kaugsuhtluseks. Peamised võimalused on järgmised:
- VNC-põhine seadmejuhtimine, mida toetab täiendav kaugjuurdepääsu moodul
- Tundlike andmete nõudmisel ekstraheerimine
- Musta või tühja ekraani juurutamine pahatahtliku tegevuse varjamiseks
- Helitugevuse kaugreguleerimine töökindluse säilitamiseks
Üks variant kasutab Androidi ligipääsetavuse teenuseid, et kuvada operaatoritele kõiki liideseelemente. See tehnika on spetsiaalselt loodud selleks, et mööda hiilida Androidi FLAG_SECURE funktsiooni piirangutest, mis takistab ekraanipiltide ja ekraanisalvestiste tegemist paljudes finantsrakendustes.
Liidesekaitsetest möödahiilimine pettuste korral
Ligipääsetavuspõhine voogedastusmehhanism annab ründajatele seadme liidese sõlme tasemel esituse. Kuna see väldib traditsioonilisi ekraanipildi jäädvustamise tehnikaid, ei käivita see pangandus- ja krüptovaluutarakenduste sisseehitatud kaitset. Selle tulemusena saavad ründajad tundlikele ekraanidele püsiva ja piiramatu nähtavuse.
Katterünnakud ja volituste kogumine
Sarnaselt teiste Androidi pangandustroojalastega kasutab Albiriox pealiskaudseid rünnakuid, mis on seotud ettevõtte kõvakodeeritud sihtrakenduste loendiga. Need pealiskaudsed rünnakud kuvatakse legitiimsete sisselogimispaneelide või süsteemidialoogidena, võimaldades tõhusat volituste varastamist. Lisaks kuvab pahavara eksitavaid ekraane, näiteks võltsitud värskendusviipasid või täiesti musti ekraane, et varjata oma tegevust, samal ajal kui taustal toimuvad petturlikud toimingud.
Täisvarustusega ODF-platvorm
Albirioxil on kõik täiustatud seadmesisese pettusevastase pahavara iseloomulikud omadused. Selle VNC-põhise kaugmanipulatsiooni, ligipääsetavusepõhiste automatiseeritud töövoogude, sihipäraste kihtide ja dünaamiliste andmete kogumise tehnikate kombinatsioon võimaldab ründajatel autentimiskontrollidest mööda hiilida ja tavapärastest pettuste avastamise mehhanismidest mööda hiilida. Tegutsedes otse ohvri õigustatud seansi sees, annab pahavara oma operaatoritele erakordselt kõrge kontrollitaseme ja samaväärselt olulise võimaluse kuritarvitusteks.
