תוכנה זדונית של Albiriox MaaS

איום אנדרואיד חדש שצץ, המכונה Albiriox, מייצג את האבולוציה האחרונה בפעולות הונאה במכשירים. הוא מפורסם תחת מודל של תוכנה זדונית כשירות, ומספק ערכת כלים מקיפה לשליטה מרחוק, ניצול לרעה אוטומטי ומניפולציה חשאית של מכשירי הקורבנות.

איום מסחרי שנבנה להונאה

Albiriox משווקת כפתרון MaaS מלא, שנועד לתמוך בהונאות במכשיר (ODF), אינטראקציה בזמן אמת עם מכשירים ומניפולציה חלקה של המסך. פעילות מוקדמת מצביעה על כך שהמפעילים ביצעו בתחילה שלב גיוס מוגבל בסוף ספטמבר 2025 לפני שעברו לפריסה מסחרית רחבה יותר. אינדיקטורים הקשורים לדיונים בפורומים, שימוש בשפה ותשתית תומכת מצביעים על כך שפושעי סייבר דוברי רוסית מובילים את הפרויקט.

המפתחים מספקים גם בונה מותאם אישית שלפי הדיווחים משתלב עם שירות ההצפנה Golden Crypt, מה שמאפשר ללקוחות להתחמק מכלי אנטי-וירוס והגנות אבטחה למובייל.

מיקוד בנוף יישומים רחב

הנוזקה מטמיעה רשימה נרחבת ומקודדת של יותר מ-400 אפליקציות ממוקדות. אלה משתרעות על פני מגוון רחב של קטגוריות רגישות, כולל בנקאות, פינטק, בורסות קריפטוגרפיות, מעבדי תשלומים, ארנקים דיגיטליים ופלטפורמות מסחר מקוונות. גישת מיקוד רחבה זו תואמת את מטרתה של איסוף אישורים, ייזום עסקאות הונאה ותחזוקת גישה חשאית לאפליקציות פיננסיות.

פריסה חשאית באמצעות הנדסה חברתית

ההפצה מסתמכת במידה רבה על פיתיונות מטעים שנועדו להערים על משתמשים ולגרום להם להתקין אפליקציות מחופשות. תוקפים משלבים תבניות של הנדסה חברתית עם טכניקות אריזה והטעיה כדי לעקוף כלי ניתוח סטטיים. קמפיין אחד שהתמקד במשתמשים אוסטרים השתמש בהודעות SMS בשפה הגרמנית ובכתובות URL מקוצרות שהובילו לדפי חנות Google Play מזויפים עבור אפליקציות כמו 'PENNY Angebote & Coupons'.

קורבנות שלחצו על כפתור ה"התקנה" המזויף הורידו מבלי דעת קובץ APK של Dropper. לאחר ההפעלה, האפליקציה ביקשה אישור להתקין תוכנה נוספת, כשהיא מעמידה פנים שהיא מתחילה עדכון שגרתי. פעולה זו הפעילה את פריסת המטען הראשי של Albiriox.

קמפיין קשור הפנה קורבנות פוטנציאליים לאתר אינטרנט הונאה בנושא PENNY, שם התבקשו למסור את מספר הטלפון שלהם כדי לקבל קישור הורדה בוואטסאפ. רק מספרי טלפון אוסטריים התקבלו, וכל ההגשות נשלחו לבוט טלגרם הנשלט על ידי המפעילים.

שלט רחוק ופעולה סמויה

לאחר פעילותה, Albiriox יוצרת תקשורת עם שרת ה-Command-and-Control שלה דרך שקע TCP לא מוצפן. זה מאפשר לגורמי איום לדחוף פקודות המשמשות לאינטראקציה מרחוק מלאה. היכולות העיקריות כוללות:

• בקרת מכשירים מבוססת VNC, הנתמכת על ידי מודול גישה מרחוק נוסף
• חילוץ נתונים רגישים לפי דרישה
• פריסת מסך שחור או ריק כדי להסתיר פעילות זדונית
• כוונון עוצמת קול מרחוק לשמירה על חמקנות מבצעית

גרסה אחת משתמשת בשירותי הנגישות של אנדרואיד כדי להציג את כל רכיבי הממשק למפעילים. טכניקה זו נועדה במיוחד לעקוף את המגבלות של תכונת FLAG_SECURE של אנדרואיד, המונעת צילומי מסך והקלטות מסך בתוך יישומים פיננסיים רבים.

עקיפת הגנות ממשק מפני הונאה

מנגנון הסטרימינג המונע על ידי נגישות מעניק לתוקפים ייצוג ברמת הצומת של ממשק המכשיר. מכיוון שהוא נמנע מטכניקות לכידת תצוגה מסורתיות, הוא אינו מפעיל הגנות מובנות המופעלות על ידי אפליקציות בנקאיות ומטבעות קריפטוגרפיים. כתוצאה מכך, התוקפים מקבלים נראות מתמשכת ובלתי מוגבלת של מסכים רגישים.

התקפות שכבת-על ואיסוף אישורים

בדומה לטרויאנים אחרים בבנקאות אנדרואיד, Albiriox משתמשת במתקפות שכבת-על הקשורות לרשימת היישומים הממוקדים שלה. שכבות-על אלו מופיעות כלוחות התחברות לגיטימיים או כתיבת דו-שיח של המערכת, מה שמאפשר גניבת אישורים יעילה. בנוסף, התוכנה הזדונית מציגה מסכים מטעים, כגון הנחיות עדכון מזויפות או תצוגות שחורות לחלוטין, כדי להסתיר את פעילותה בזמן שפעולות הונאה מתבצעות ברקע.

פלטפורמת ODF מאובזרת במלואה

Albiriox מדגימה את כל המאפיינים הבולטים של תוכנות זדוניות מתקדמות להונאה במכשיר. השילוב שלה של מניפולציה מרחוק מבוססת VNC, זרימות עבודה אוטומציה מונחות נגישות, שכבות-על ממוקדות וטכניקות קצירת נתונים דינמיות מאפשר לתוקפים לעקוף בקרות אימות ולחמוק ממנגנוני גילוי הונאות קונבנציונליים. על ידי פעולה ישירות בתוך הסשן הלגיטימי של הקורבן, התוכנה הזדונית מעניקה למפעיליה רמת שליטה גבוהה במיוחד והזדמנות משמעותית לא פחות לניצול לרעה.