Monen lisenssin alennustarjous
Uhatietokanta Mobiili haittaohjelma Albiriox MaaS -haittaohjelma

Albiriox MaaS -haittaohjelma

Vuonna Mezo vuonna Mobiili haittaohjelma, Pankkitoiminta Troijalainen
Käännä:

Uusi Android-uhka, Albiriox, edustaa uusinta kehitysaskelta laitteissa tapahtuvissa petoksissa. Se mainostetaan haittaohjelma-palvelumallina, ja se tarjoaa laajan työkalupakin uhrien laitteiden etähallintaan, automaattiseen väärinkäyttöön ja salakavalaan manipulointiin.

Kaupallistettu uhka, joka on rakennettu petosta varten

Albirioxia markkinoidaan täysimittaisena MaaS-tuotteena, joka on suunniteltu tukemaan laitepetosten torjuntaa (ODF), reaaliaikaista laitevuorovaikutusta ja saumatonta näytön manipulointia. Alustavien tietojen mukaan operaattorit toteuttivat aluksi rajoitetun rekrytointivaiheen syyskuun 2025 lopulla ennen siirtymistä laajempaan kaupalliseen käyttöönottoon. Foorumikeskusteluihin, kielenkäyttöön ja tukevaan infrastruktuuriin liittyvät indikaattorit viittaavat siihen, että projektia johtavat venäjänkieliset kyberrikolliset.

Kehittäjät tarjoavat myös mukautetun rakennustyökalun, jonka kerrotaan integroituvan Golden Crypt -kryptauspalveluun, jolloin asiakkaat voivat kiertää virustorjuntatyökaluja ja mobiililaitteiden suojauksia.

Laajan sovellusalueen tavoittelu

Haittaohjelma sisältää laajan, yli 400 kohdennetun sovelluksen listan. Nämä kattavat laajan kirjon arkaluonteisia luokkia, kuten pankkipalvelut, finanssiteknologian, kryptovaluuttapörssit, maksupalveluntarjoajat, digitaaliset lompakot ja verkkokaupankäyntialustat. Tämä laaja kohdistustapa on linjassa sen tavoitteen kanssa kaapata tunnistetiedot, aloittaa vilpillisiä maksutapahtumia ja ylläpitää salaista pääsyä taloussovelluksiin.

Salainen käyttöönotto sosiaalisen manipuloinnin avulla

Jakelu perustuu vahvasti harhaanjohtaviin houkuttimiin, joiden tarkoituksena on huijata käyttäjiä asentamaan naamioituja droppereita. Hyökkääjät yhdistävät sosiaalisen manipuloinnin teemoja pakkaus- ja hämärtämistekniikoihin ohittaakseen staattisen analyysin työkalut. Yhdessä itävaltalaisiin käyttäjiin keskittyneessä kampanjassa käytettiin saksankielisiä tekstiviestejä ja lyhennettyjä URL-osoitteita, jotka johtivat väärennetyille Google Play Kauppa -sivuille sovelluksille, kuten "PENNY Angebote & Coupons".

Uhrit, jotka valitsivat väärennetyn "Asenna"-painikkeen, latasivat tietämättään dropper-APK:n. Käynnistyksen jälkeen sovellus pyysi lupaa asentaa lisäohjelmistoja teeskennellen aloittavansa rutiinipäivityksen. Tämä toiminto käynnisti Albiriox-päähyötykuorman käyttöönoton.

Aiheeseen liittyvä kampanja ohjasi potentiaaliset uhrit huijaavalle PENNY-aiheiselle verkkosivustolle, jossa heitä pyydettiin antamaan puhelinnumeronsa WhatsApp-latauslinkin saamiseksi. Vain itävaltalaiset numerot hyväksyttiin, ja kaikki lähetykset lähetettiin operaattoreiden hallinnoimalle Telegram-botille.

Kauko-ohjaus ja peitelty käyttö

Kun Albiriox on aktiivinen, se muodostaa yhteyden komento- ja hallintapalvelimeensa salaamattoman TCP-socketin kautta. Tämä mahdollistaa uhkatoimijoiden lähettää komentoja, joita käytetään täydelliseen etävuorovaikutukseen. Keskeisiä ominaisuuksia ovat:

  • VNC-pohjainen laiteohjaus, jota tukee ylimääräinen etäkäyttömoduuli
  • Arkaluonteisten tietojen poiminta pyynnöstä
  • Mustan tai tyhjän näytön käyttöönotto haitallisen toiminnan peittämiseksi
  • Äänenvoimakkuuden etäsäätö toiminnan varjelemiseksi

Yksi muunnelma käyttää Androidin esteettömyyspalveluita kaikkien käyttöliittymäelementtien näyttämiseen käyttäjille. Tämä tekniikka on erityisesti suunniteltu kiertämään Androidin FLAG_SECURE-ominaisuuden rajoituksia, jotka estävät kuvakaappaukset ja näytön tallenteet monissa taloussovelluksissa.

Rajapintasuojausten ohittaminen petosten varalta

Esteettömyyspohjainen suoratoistomekanismi antaa hyökkääjille laitteen käyttöliittymän solmutason esityksen. Koska se välttää perinteisiä näytön kaappaustekniikoita, se ei laukaise pankki- ja kryptovaluuttasovellusten käyttämiä sisäänrakennettuja suojauksia. Tämän seurauksena hyökkääjät saavat pysyvän ja rajoittamattoman näkyvyyden herkille näytöille.

Peittokuvahyökkäykset ja tunnistetietojen keruu

Muiden Android-pankkitroijalaisten tavoin Albiriox käyttää päällekkäishyökkäyksiä, jotka on sidottu sen kovakoodattuun kohdennettujen sovellusten luetteloon. Nämä päällekkäisikkunat näkyvät laillisina kirjautumispaneeleina tai järjestelmävalintaikkunoina, mikä mahdollistaa tehokkaan tunnistetietojen varastamisen. Lisäksi haittaohjelma näyttää harhaanjohtavia näyttöjä, kuten tekaistuja päivityskehotteita tai täysin mustia näyttöjä, piilottaakseen toimintansa, kun petolliset toiminnot jatkuvat taustalla.

Täysin varusteltu ODF-alusta

Albiriox omaa kaikki kehittyneiden laitekohtaisten petoshaittaohjelmien tunnusmerkit. Sen VNC-pohjaisen etämanipulaation, saavutettavuuteen perustuvien automaatiotyönkulkujen, kohdennettujen päällekkäisyyksien ja dynaamisten keruutekniikoiden yhdistelmä antaa hyökkääjille mahdollisuuden ohittaa todennuskontrollit ja ohittaa perinteiset petosten havaitsemismekanismit. Toimimalla suoraan uhrin laillisessa istunnossa haittaohjelma antaa käyttäjilleen poikkeuksellisen korkean tason hallintaa ja yhtä merkittävän mahdollisuuden väärinkäyttöön.

Trendaavat

Saapuvan viestin keskeytys -huijaus

Tietojenkalastelu, Roskaposti
Kyberrikolliset jatkavat sähköpostipohjaisten harhautusten kehittämistä, ja ”Saapuvien viestien käsittely keskeytetty” -huijaus on jälleen yksi esimerkki siitä, miten vakuuttavasti muotoiltu roskaposti voi houkutella tietämättömiä vastaanottajia. Nämä vilpilliset hälytykset väittävät virheellisesti, että viestejä pidätetään postilaatikostasi, ja yrittävät ohjata sinut tietojenkalastelusivulle....

Eniten katsottu

Ladataan...