Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Malware Albiriox MaaS

Malware Albiriox MaaS

Entro Mezo nel Malware per dispositivi mobili, Trojan bancario
Traduci in:

Una nuova minaccia per Android, nota come Albiriox, rappresenta l'ultima evoluzione nelle operazioni di frode sui dispositivi. Pubblicizzata con un modello di malware come servizio, offre un ampio kit di strumenti per il controllo remoto, l'abuso automatizzato e la manipolazione furtiva dei dispositivi delle vittime.

Una minaccia commercializzata creata per la frode

Albiriox è commercializzato come un'offerta MaaS completa, progettata per supportare le frodi sui dispositivi (ODF), l'interazione in tempo reale con i dispositivi e la manipolazione fluida dello schermo. Le prime attività suggeriscono che gli operatori abbiano inizialmente condotto una fase di reclutamento limitata a fine settembre 2025, prima di passare a un lancio commerciale più ampio. Gli indicatori legati alle discussioni nei forum, all'uso della lingua e all'infrastruttura di supporto indicano che i criminali informatici di lingua russa sono alla guida del progetto.

Gli sviluppatori forniscono anche un builder personalizzato che, a quanto pare, si integra con il servizio di crittografia Golden Crypt, consentendo ai clienti di eludere gli strumenti antivirus e le difese di sicurezza dei dispositivi mobili.

Mirare a un ampio panorama applicativo

Il malware incorpora un ampio elenco hard-coded di oltre 400 applicazioni mirate. Queste coprono un'ampia gamma di categorie sensibili, tra cui servizi bancari, fintech, exchange di criptovalute, processori di pagamento, portafogli digitali e piattaforme di trading online. Questo ampio approccio di targeting è in linea con l'obiettivo di acquisire credenziali, avviare transazioni fraudolente e mantenere un accesso occulto alle app finanziarie.

Dispiegamento segreto tramite ingegneria sociale

La distribuzione si basa in larga misura su esche ingannevoli progettate per indurre gli utenti a installare dropper camuffati. Gli aggressori abbinano temi di ingegneria sociale a tecniche di packing e offuscamento per eludere gli strumenti di analisi statica. Una campagna mirata agli utenti austriaci ha utilizzato messaggi SMS in lingua tedesca e URL abbreviati, creando pagine contraffatte del Google Play Store per app come "PENNY Angebote & Coupons".

Le vittime che hanno selezionato il falso pulsante "Installa" hanno scaricato inconsapevolmente un APK dropper. Dopo l'avvio, l'app ha richiesto l'autorizzazione per installare software aggiuntivo, fingendo di avviare un aggiornamento di routine. Questa azione ha attivato l'implementazione del payload principale di Albiriox.

Una campagna correlata reindirizzava le potenziali vittime a un sito web fraudolento a tema PENNY, dove veniva chiesto loro di fornire il proprio numero di telefono per ricevere un link per scaricare WhatsApp. Venivano accettati solo numeri austriaci e tutte le richieste venivano inviate a un bot di Telegram controllato dagli operatori.

Controllo remoto e operazioni segrete

Una volta attivo, Albiriox stabilisce una comunicazione con il suo server di Comando e Controllo tramite un socket TCP non crittografato. Ciò consente agli autori delle minacce di inviare comandi utilizzati per un'interazione remota completa. Le funzionalità principali includono:

  • Controllo del dispositivo basato su VNC, supportato da un modulo di accesso remoto aggiuntivo
  • Estrazione su richiesta di dati sensibili
  • Utilizzo di schermate nere o vuote per nascondere attività dannose
  • Regolazioni del volume da remoto per mantenere la furtività operativa

Una variante utilizza i servizi di accessibilità di Android per presentare tutti gli elementi dell'interfaccia agli operatori. Questa tecnica è espressamente progettata per aggirare le restrizioni della funzionalità FLAG_SECURE di Android, che impedisce l'acquisizione di screenshot e registrazioni dello schermo in molte applicazioni finanziarie.

Bypassare le protezioni dell’interfaccia per le frodi

Il meccanismo di streaming basato sull'accessibilità fornisce agli aggressori una rappresentazione a livello di nodo dell'interfaccia del dispositivo. Evitando le tradizionali tecniche di cattura dello schermo, non attiva le protezioni integrate utilizzate dalle app bancarie e di criptovalute. Di conseguenza, gli aggressori ottengono una visibilità persistente e illimitata degli schermi sensibili.

Attacchi overlay e raccolta di credenziali

In linea con altri trojan bancari per Android, Albiriox impiega attacchi overlay legati al suo elenco hard-coded di applicazioni mirate. Questi overlay appaiono come pannelli di accesso o finestre di dialogo di sistema legittimi, consentendo un efficace furto di credenziali. Inoltre, il malware presenta schermate fuorvianti, come falsi prompt di aggiornamento o schermate completamente nere, per nascondere le sue attività mentre le operazioni fraudolente procedono in background.

Una piattaforma ODF completamente attrezzata

Albiriox dimostra tutte le caratteristiche distintive di un malware avanzato per frodi su dispositivo. La sua combinazione di manipolazione remota basata su VNC, flussi di lavoro di automazione basati sull'accessibilità, overlay mirati e tecniche di harvesting dinamico consente agli aggressori di eludere i controlli di autenticazione e di aggirare i meccanismi convenzionali di rilevamento delle frodi. Operando direttamente all'interno della sessione legittima della vittima, il malware garantisce ai suoi operatori un livello di controllo eccezionalmente elevato e un'altrettanto significativa opportunità di abuso.

Tendenza

I più visti

Caricamento in corso...