Albiriox MaaS मैलवेयर
हाल ही में सामने आया एक एंड्रॉइड ख़तरा, जिसे एल्बिरिओक्स के नाम से जाना जाता है, डिवाइस पर धोखाधड़ी के मामलों में नवीनतम विकास का प्रतिनिधित्व करता है। मैलवेयर-एज़-ए-सर्विस मॉडल के तहत विज्ञापित, यह पीड़ितों के उपकरणों के रिमोट कंट्रोल, स्वचालित दुरुपयोग और गुप्त हेरफेर के लिए एक व्यापक टूलकिट प्रदान करता है।
विषयसूची
धोखाधड़ी के लिए बनाया गया एक व्यावसायिक खतरा
एल्बिरियोक्स को एक पूर्ण-विशेषताओं वाली MaaS पेशकश के रूप में विपणन किया जाता है, जिसे ऑन-डिवाइस धोखाधड़ी (ODF), रीयल-टाइम डिवाइस इंटरैक्शन और निर्बाध स्क्रीन हेरफेर का समर्थन करने के लिए डिज़ाइन किया गया है। शुरुआती गतिविधियों से पता चलता है कि ऑपरेटरों ने व्यापक व्यावसायिक रोलआउट की ओर बढ़ने से पहले सितंबर 2025 के अंत में एक सीमित भर्ती चरण आयोजित किया था। मंच चर्चाओं, भाषा के प्रयोग और सहायक बुनियादी ढाँचे से जुड़े संकेतक इस ओर इशारा करते हैं कि रूसी भाषी साइबर अपराधी इस परियोजना का नेतृत्व कर रहे हैं।
डेवलपर्स एक कस्टम बिल्डर भी प्रदान करते हैं जो कथित तौर पर गोल्डन क्रिप्ट क्रिप्टिंग सेवा के साथ एकीकृत होता है, जिससे ग्राहकों को एंटीवायरस टूल और मोबाइल सुरक्षा बचाव से बचने में मदद मिलती है।
व्यापक अनुप्रयोग परिदृश्य को लक्षित करना
मैलवेयर 400 से ज़्यादा लक्षित ऐप्स की एक विस्तृत हार्ड-कोडेड सूची एम्बेड करता है। ये ऐप्स बैंकिंग, वित्तीय प्रौद्योगिकी, क्रिप्टोकरेंसी एक्सचेंज, भुगतान प्रोसेसर, डिजिटल वॉलेट और ऑनलाइन ट्रेडिंग प्लेटफ़ॉर्म सहित कई संवेदनशील श्रेणियों में आते हैं। यह व्यापक लक्ष्यीकरण दृष्टिकोण क्रेडेंशियल्स को कैप्चर करने, धोखाधड़ी वाले लेनदेन शुरू करने और वित्तीय ऐप्स तक गुप्त पहुँच बनाए रखने के इसके लक्ष्य के अनुरूप है।
सामाजिक इंजीनियरिंग के माध्यम से गुप्त तैनाती
वितरण मुख्यतः भ्रामक प्रलोभनों पर निर्भर करता है जो उपयोगकर्ताओं को छद्म ड्रॉपर इंस्टॉल करने के लिए प्रेरित करते हैं। हमलावर स्थैतिक विश्लेषण उपकरणों को दरकिनार करने के लिए सोशल इंजीनियरिंग थीम को पैकिंग और अस्पष्टीकरण तकनीकों के साथ जोड़ते हैं। ऑस्ट्रियाई उपयोगकर्ताओं पर केंद्रित एक अभियान में जर्मन भाषा के एसएमएस संदेशों और छोटे यूआरएल का इस्तेमाल किया गया, जो 'पेनी एंजबोट एंड कूपन्स' जैसे ऐप्स के नकली गूगल प्ले स्टोर पेजों पर ले जाते थे।
जिन पीड़ितों ने नकली 'इंस्टॉल' बटन चुना, उन्होंने अनजाने में एक ड्रॉपर APK डाउनलोड कर लिया। लॉन्च होने के बाद, ऐप ने नियमित अपडेट शुरू करने का नाटक करते हुए अतिरिक्त सॉफ़्टवेयर इंस्टॉल करने की अनुमति मांगी। इस कार्रवाई से मुख्य एल्बिरियोक्स पेलोड की तैनाती शुरू हो गई।
एक संबंधित अभियान ने संभावित पीड़ितों को एक धोखाधड़ी वाली PENNY-थीम वाली वेबसाइट पर भेज दिया, जहाँ उन्हें व्हाट्सएप डाउनलोड लिंक प्राप्त करने के लिए अपना फ़ोन नंबर देने के लिए कहा गया। केवल ऑस्ट्रियाई नंबर ही स्वीकार किए गए, और सभी सबमिशन ऑपरेटरों द्वारा नियंत्रित एक टेलीग्राम बॉट को भेजे गए।
रिमोट कंट्रोल और गुप्त संचालन
एक बार सक्रिय होने पर, एल्बिरियोक्स एक अनएन्क्रिप्टेड टीसीपी सॉकेट के माध्यम से अपने कमांड-एंड-कंट्रोल सर्वर के साथ संचार स्थापित करता है। यह खतरे पैदा करने वाले तत्वों को पूर्ण दूरस्थ संपर्क के लिए उपयोग किए जाने वाले कमांड पुश करने में सक्षम बनाता है। प्रमुख क्षमताओं में शामिल हैं:
- VNC-आधारित डिवाइस नियंत्रण, एक अतिरिक्त रिमोट-एक्सेस मॉड्यूल द्वारा समर्थित
- संवेदनशील डेटा का मांग पर निष्कर्षण
- दुर्भावनापूर्ण गतिविधि को छिपाने के लिए काली या खाली स्क्रीन का उपयोग
- परिचालन स्थिरता बनाए रखने के लिए दूरस्थ वॉल्यूम समायोजन
एक प्रकार, ऑपरेटरों को सभी इंटरफ़ेस तत्व प्रदान करने के लिए एंड्रॉइड की एक्सेसिबिलिटी सेवाओं का उपयोग करता है। यह तकनीक विशेष रूप से एंड्रॉइड के FLAG_SECURE फ़ीचर की सीमाओं को दरकिनार करने के लिए डिज़ाइन की गई है, जो कई वित्तीय अनुप्रयोगों में स्क्रीनशॉट और स्क्रीन रिकॉर्डिंग को रोकता है।
धोखाधड़ी के लिए इंटरफ़ेस सुरक्षा को दरकिनार करना
पहुँच-आधारित स्ट्रीमिंग तंत्र हमलावरों को डिवाइस इंटरफ़ेस का नोड-स्तरीय प्रतिनिधित्व प्रदान करता है। चूँकि यह पारंपरिक डिस्प्ले कैप्चर तकनीकों से बचता है, इसलिए यह बैंकिंग और क्रिप्टोकरेंसी ऐप्स द्वारा नियोजित अंतर्निहित सुरक्षा को सक्रिय नहीं करता है। परिणामस्वरूप, हमलावर संवेदनशील स्क्रीन की निरंतर, अप्रतिबंधित दृश्यता प्राप्त कर लेते हैं।
ओवरले हमले और क्रेडेंशियल हार्वेस्टिंग
अन्य एंड्रॉइड बैंकिंग ट्रोजन की तरह, एल्बिरिओक्स अपने लक्षित एप्लिकेशन की हार्ड-कोडेड सूची से जुड़े ओवरले हमलों का इस्तेमाल करता है। ये ओवरले वैध लॉगिन पैनल या सिस्टम डायलॉग के रूप में दिखाई देते हैं, जिससे क्रेडेंशियल्स की चोरी हो जाती है। इसके अलावा, यह मैलवेयर भ्रामक स्क्रीन, जैसे नकली अपडेट प्रॉम्प्ट या पूरी तरह से काले डिस्प्ले, दिखाकर अपनी गतिविधियों को छुपाता है, जबकि पृष्ठभूमि में धोखाधड़ी वाले ऑपरेशन चलते रहते हैं।
एक पूर्णतः सुसज्जित ओडीएफ प्लेटफॉर्म
एल्बिरियोक्स उन्नत ऑन-डिवाइस धोखाधड़ी मैलवेयर की सभी विशिष्ट विशेषताओं को प्रदर्शित करता है। VNC-आधारित दूरस्थ हेरफेर, सुगम्यता-आधारित स्वचालन वर्कफ़्लो, लक्षित ओवरले और गतिशील हार्वेस्टिंग तकनीकों का इसका मिश्रण हमलावरों को प्रमाणीकरण नियंत्रणों को दरकिनार करने और पारंपरिक धोखाधड़ी-पहचान तंत्रों से बच निकलने में सक्षम बनाता है। पीड़ित के वैध सत्र के अंदर सीधे काम करके, यह मैलवेयर अपने संचालकों को असाधारण रूप से उच्च स्तर का नियंत्रण और दुरुपयोग के लिए समान रूप से महत्वपूर्ण अवसर प्रदान करता है।
