Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware Zlonamjerni softver Albiriox MaaS

Zlonamjerni softver Albiriox MaaS

Do Mezo. Mobilni malware, Bankarski trojanac. godine
Prevedi na:

Novootkrivena Android prijetnja, poznata kao Albiriox, predstavlja najnoviju evoluciju u operacijama prijevara na uređajima. Oglašava se u okviru modela zlonamjernog softvera kao usluge (zlonamjerni softver kao usluga), a pruža opsežan skup alata za daljinsko upravljanje, automatiziranu zlouporabu i prikrivenu manipulaciju uređajima žrtava.

Komercijalizirana prijetnja stvorena za prijevaru

Albiriox se reklamira kao MaaS ponuda s punom značajkom osmišljena za podršku prijevarama na uređaju (ODF), interakciji uređaja u stvarnom vremenu i besprijekornoj manipulaciji zaslonom. Rane aktivnosti sugeriraju da su operateri u početku proveli ograničenu fazu regrutiranja krajem rujna 2025. prije nego što su prešli na šire komercijalno uvođenje. Pokazatelji povezani s raspravama na forumima, upotrebom jezika i pratećom infrastrukturom upućuju na to da ruskogovoreći kibernetički kriminalci predvode projekt.

Programeri također nude prilagođeni alat za izradu kriptografskih datoteka koji se navodno integrira s uslugom kriptiranja Golden Crypt, omogućujući korisnicima da izbjegnu antivirusne alate i mobilnu sigurnosnu obranu.

Ciljanje širokog krajolika primjene

Zlonamjerni softver ugrađuje opsežan popis od više od 400 ciljanih aplikacija. One obuhvaćaju širok raspon osjetljivih kategorija, uključujući bankarstvo, fintech, burze kriptovaluta, procesore plaćanja, digitalne novčanike i platforme za online trgovanje. Ovaj široki pristup ciljanju usklađen je s njegovim ciljem prikupljanja vjerodajnica, pokretanja lažnih transakcija i održavanja tajnog pristupa financijskim aplikacijama.

Prikriveno raspoređivanje putem društvenog inženjeringa

Distribucija se uvelike oslanja na obmanjujuće mamce osmišljene kako bi prevarile korisnike da instaliraju prikrivene programe za spuštanje. Napadači kombiniraju teme društvenog inženjeringa s tehnikama pakiranja i prikrivanja kako bi zaobišli alate za statičku analizu. Jedna kampanja usmjerena na austrijske korisnike koristila je SMS poruke na njemačkom jeziku i skraćene URL-ove koji su vodili do krivotvorenih stranica Trgovine Google Play za aplikacije poput 'PENNY Angebote & Coupons'.

Žrtve koje su odabrale lažni gumb 'Instaliraj' nesvjesno su preuzele APK datoteku. Nakon pokretanja, aplikacija je tražila dopuštenje za instaliranje dodatnog softvera, pretvarajući se da pokreće rutinsko ažuriranje. Ova radnja pokrenula je implementaciju glavnog Albiriox sadržaja.

Povezana kampanja preusmjeravala je potencijalne žrtve na lažnu web stranicu s temom PENNY-a, gdje su se od njih tražilo da unesu svoj telefonski broj kako bi primili poveznicu za preuzimanje WhatsAppa. Prihvaćali su se samo austrijski brojevi, a svi prijedlozi slali su se Telegram botu kojeg kontroliraju operateri.

Daljinsko upravljanje i tajno djelovanje

Nakon što je aktivan, Albiriox uspostavlja komunikaciju sa svojim Command-and-Control serverom putem nešifriranog TCP socketa. To omogućuje prijetnjama slanje naredbi koje se koriste za potpunu udaljenu interakciju. Ključne mogućnosti uključuju:

  • Upravljanje uređajima temeljeno na VNC-u, podržano dodatnim modulom za daljinski pristup
  • Ekstrakcija osjetljivih podataka na zahtjev
  • Implementacija crnog ili praznog zaslona za prikrivanje zlonamjernih aktivnosti
  • Daljinsko podešavanje glasnoće za održavanje operativne diskretnosti

Jedna varijanta koristi Androidove usluge pristupačnosti kako bi operaterima prikazala sve elemente sučelja. Ova je tehnika izričito dizajnirana kako bi zaobišla ograničenja Androidove značajke FLAG_SECURE, koja sprječava snimke zaslona i snimanje zaslona u mnogim financijskim aplikacijama.

Zaobilaženje zaštita sučelja za prijevaru

Mehanizam strujanja temeljen na pristupačnosti napadačima daje prikaz sučelja uređaja na razini čvora. Budući da izbjegava tradicionalne tehnike snimanja zaslona, ne aktivira ugrađene zaštite koje koriste bankarske i kriptovalutne aplikacije. Kao rezultat toga, napadači dobivaju trajnu, neograničenu vidljivost osjetljivih zaslona.

Napadi preklapanjem i prikupljanje vjerodajnica

U skladu s drugim Android bankarskim trojancima, Albiriox koristi napade preklapanjem vezane uz njegov fiksno kodirani popis ciljanih aplikacija. Ovi preklapanja pojavljuju se kao legitimne ploče za prijavu ili sistemski dijalozi, omogućujući učinkovitu krađu vjerodajnica. Osim toga, zlonamjerni softver prikazuje zavaravajuće zaslone, poput lažnih upita za ažuriranje ili potpuno crnih zaslona, kako bi sakrio svoje aktivnosti dok se u pozadini odvijaju prijevarne operacije.

Potpuno opremljena ODF platforma

Albiriox pokazuje sve karakteristične karakteristike naprednog zlonamjernog softvera za prijevare na uređaju. Njegova kombinacija daljinske manipulacije temeljene na VNC-u, automatiziranih radnih procesa usmjerenih na pristupačnost, ciljanih slojeva i tehnika dinamičkog prikupljanja podataka omogućuje napadačima da zaobiđu kontrole autentifikacije i promaknu konvencionalnim mehanizmima za otkrivanje prijevara. Djelujući izravno unutar legitimne sesije žrtve, zlonamjerni softver svojim operaterima daje iznimno visoku razinu kontrole i jednako značajnu priliku za zlouporabu.

U trendu

Nagledanije

Učitavam...