بدافزار Albiriox MaaS

یک تهدید اندرویدی که به تازگی کشف شده است، با نام Albiriox، جدیدترین تحول در عملیات کلاهبرداری روی دستگاه را نشان می‌دهد. این تهدید که تحت مدل بدافزار به عنوان سرویس تبلیغ می‌شود، مجموعه‌ای گسترده از ابزارها را برای کنترل از راه دور، سوءاستفاده خودکار و دستکاری مخفیانه دستگاه‌های قربانیان ارائه می‌دهد.

یک تهدید تجاری ساخته شده برای کلاهبرداری

Albiriox به عنوان یک سرویس MaaS با تمام امکانات به بازار عرضه شده است که برای پشتیبانی از کلاهبرداری روی دستگاه (ODF)، تعامل بلادرنگ با دستگاه و دستکاری یکپارچه صفحه نمایش طراحی شده است. فعالیت‌های اولیه نشان می‌دهد که اپراتورها در ابتدا یک مرحله استخدام محدود را در اواخر سپتامبر 2025 انجام داده‌اند و سپس به یک عرضه تجاری گسترده‌تر روی آورده‌اند. شاخص‌های مرتبط با بحث‌های انجمن، استفاده از زبان و زیرساخت‌های پشتیبانی، به مجرمان سایبری روسی زبان که رهبری این پروژه را بر عهده دارند، اشاره دارد.

توسعه‌دهندگان همچنین یک سازنده سفارشی ارائه می‌دهند که طبق گزارش‌ها با سرویس رمزنگاری Golden Crypt ادغام می‌شود و به مشتریان این امکان را می‌دهد تا از ابزارهای آنتی‌ویروس و سیستم‌های دفاعی امنیتی موبایل فرار کنند.

هدف قرار دادن یک چشم‌انداز کاربردی گسترده

این بدافزار فهرستی گسترده و کدگذاری‌شده از بیش از ۴۰۰ برنامه‌ی کاربردی هدفمند را در خود جای داده است. این برنامه‌ها طیف وسیعی از دسته‌بندی‌های حساس، از جمله بانکداری، فین‌تک، صرافی‌های ارز دیجیتال، پردازنده‌های پرداخت، کیف پول‌های دیجیتال و پلتفرم‌های معاملاتی آنلاین را در بر می‌گیرند. این رویکرد گسترده‌ی هدف‌گیری با هدف آن برای گرفتن اعتبارنامه‌ها، شروع تراکنش‌های جعلی و حفظ دسترسی پنهان به برنامه‌های مالی همسو است.

استقرار مخفیانه از طریق مهندسی اجتماعی

توزیع این بدافزار به شدت به فریب‌های فریبنده‌ای متکی است که برای فریب کاربران جهت نصب بدافزارهای پنهان طراحی شده‌اند. مهاجمان، تم‌های مهندسی اجتماعی را با تکنیک‌های بسته‌بندی و مبهم‌سازی ترکیب می‌کنند تا ابزارهای تحلیل استاتیک را دور بزنند. یک کمپین که بر کاربران اتریشی متمرکز بود، از پیامک‌های آلمانی زبان و URLهای کوتاه‌شده استفاده کرد که منجر به صفحات جعلی فروشگاه گوگل پلی برای برنامه‌هایی مانند «PENNY Angebote & Coupons» شد.

قربانیانی که دکمه‌ی جعلی «نصب» را انتخاب می‌کردند، ناآگاهانه یک فایل APK دراپر را دانلود می‌کردند. پس از اجرا، برنامه درخواست مجوز برای نصب نرم‌افزارهای اضافی می‌کرد و وانمود می‌کرد که یک به‌روزرسانی روتین را آغاز کرده است. این اقدام باعث استقرار بار داده‌ی اصلی Albiriox می‌شد.

یک کمپین مرتبط، قربانیان بالقوه را به یک وب‌سایت جعلی با تم PENNY هدایت می‌کرد، جایی که از آنها خواسته می‌شد شماره تلفن خود را برای دریافت لینک دانلود واتس‌اپ ارائه دهند. فقط شماره‌های اتریشی پذیرفته می‌شدند و همه اطلاعات به یک ربات تلگرامی که توسط اپراتورها کنترل می‌شد، ارسال می‌شد.

کنترل از راه دور و عملیات مخفی

پس از فعال شدن، Albiriox از طریق یک سوکت TCP رمزگذاری نشده با سرور Command‑and‑Control خود ارتباط برقرار می‌کند. این امر به مهاجمان امکان می‌دهد تا دستوراتی را که برای تعامل کامل از راه دور استفاده می‌شوند، اعمال کنند. قابلیت‌های کلیدی عبارتند از:

• کنترل دستگاه مبتنی بر VNC، پشتیبانی شده توسط یک ماژول دسترسی از راه دور اضافی
• استخراج داده‌های حساس بر اساس تقاضا
• استقرار صفحه سیاه یا خالی برای پنهان کردن فعالیت‌های مخرب
• تنظیم صدا از راه دور برای حفظ پنهان‌کاری عملیاتی

یک نوع از این بدافزار از سرویس‌های دسترسی اندروید برای ارائه تمام عناصر رابط کاربری به اپراتورها استفاده می‌کند. این تکنیک صراحتاً برای دور زدن محدودیت‌های ویژگی FLAG_SECURE اندروید طراحی شده است، که از گرفتن اسکرین‌شات و ضبط صفحه نمایش در بسیاری از برنامه‌های مالی جلوگیری می‌کند.

دور زدن محافظت‌های رابط برای کلاهبرداری

مکانیزم استریمینگ مبتنی بر دسترسی، به مهاجمان یک نمایش سطح گره از رابط دستگاه می‌دهد. از آنجا که از تکنیک‌های سنتی ضبط صفحه نمایش اجتناب می‌کند، محافظت‌های داخلی به کار رفته توسط برنامه‌های بانکی و ارزهای دیجیتال را فعال نمی‌کند. در نتیجه، مهاجمان به طور مداوم و بدون محدودیت به صفحات حساس دسترسی پیدا می‌کنند.

حملات همپوشانی و برداشت اعتبارنامه

آلبیریوکس، همسو با سایر تروجان‌های بانکی اندروید، از حملات پوششی مرتبط با فهرست برنامه‌های هدفمند خود که به صورت کدنویسی شده هستند، استفاده می‌کند. این پوشش‌ها به صورت پنل‌های ورود قانونی یا دیالوگ‌های سیستمی ظاهر می‌شوند و امکان سرقت مؤثر اعتبارنامه‌ها را فراهم می‌کنند. علاوه بر این، این بدافزار صفحات گمراه‌کننده‌ای مانند اعلان‌های به‌روزرسانی جعلی یا نمایشگرهای کاملاً سیاه را ارائه می‌دهد تا فعالیت‌های خود را در حالی که عملیات کلاهبرداری در پس‌زمینه ادامه دارد، پنهان کند.

یک پلتفرم ODF کاملاً مجهز

آلبیریوکس تمام ویژگی‌های بارز یک بدافزار پیشرفته‌ی کلاهبرداری روی دستگاه را نشان می‌دهد. ترکیبی از دستکاری از راه دور مبتنی بر VNC، گردش‌های کاری اتوماسیون مبتنی بر دسترسی، پوشش‌های هدفمند و تکنیک‌های برداشت پویا، به مهاجمان اجازه می‌دهد تا کنترل‌های احراز هویت را دور بزنند و از مکانیسم‌های تشخیص کلاهبرداری مرسوم عبور کنند. این بدافزار با فعالیت مستقیم در داخل جلسه‌ی قانونی قربانی، سطح کنترل فوق‌العاده بالایی را به اپراتورهای خود اعطا می‌کند و به همان اندازه فرصت قابل توجهی برای سوءاستفاده نیز فراهم می‌کند.