Albiriox MaaS 맬웨어
알비리옥스(Albiriox)라는 이름의 새롭게 발견된 안드로이드 위협은 기기 내 사기 수법의 최신 진화를 보여줍니다. 서비스형 맬웨어(MaaS) 모델로 광고되는 이 위협은 원격 제어, 자동 악용, 그리고 피해자 기기의 은밀한 조작을 위한 광범위한 툴킷을 제공합니다.
목차
사기를 위해 만들어진 상업화된 위협
Albiriox는 온디바이스 사기 방지(ODF), 실시간 기기 상호작용, 그리고 원활한 화면 조작을 지원하도록 설계된 모든 기능을 갖춘 MaaS 서비스로 홍보됩니다. 초기 활동 결과를 보면, 운영사는 2025년 9월 말에 제한적인 모집 단계를 거친 후 본격적인 상용화 단계로 전환한 것으로 보입니다. 포럼 토론, 언어 사용, 그리고 지원 인프라와 관련된 지표들은 러시아어를 구사하는 사이버 범죄자들이 이 프로젝트를 주도하고 있음을 시사합니다.
개발자는 또한 Golden Crypt 암호화 서비스와 통합되는 맞춤형 빌더를 제공하여 고객이 바이러스 백신 도구와 모바일 보안 방어 수단을 회피할 수 있도록 한다고 합니다.
광범위한 애플리케이션 환경을 타겟팅
이 악성코드는 400개 이상의 표적 애플리케이션에 대한 광범위한 하드코딩 목록을 내장하고 있습니다. 이 목록은 은행, 핀테크, 암호화폐 거래소, 결제 처리 업체, 디지털 지갑, 온라인 거래 플랫폼 등 광범위한 민감한 범주를 포괄합니다. 이러한 광범위한 타겟팅 방식은 자격 증명을 수집하고, 사기 거래를 실행하고, 금융 앱에 대한 은밀한 접근을 유지하려는 악성코드의 목표와 일치합니다.
사회 공학을 통한 은밀한 배치
유포는 사용자를 속여 위장된 드로퍼를 설치하도록 유도하는 기만적인 미끼에 크게 의존합니다. 공격자는 정적 분석 도구를 피하기 위해 소셜 엔지니어링 기법과 패킹 및 난독화 기법을 병행합니다. 오스트리아 사용자를 대상으로 한 한 캠페인에서는 독일어 SMS 메시지와 단축 URL을 사용하여 'PENNY Angebote & Coupons'와 같은 앱의 위조된 Google Play 스토어 페이지로 연결되었습니다.
가짜 '설치' 버튼을 선택한 피해자들은 자신도 모르게 드로퍼 APK를 다운로드했습니다. 앱이 실행된 후, 정기 업데이트를 시작하는 것처럼 위장하며 추가 소프트웨어 설치 권한을 요청했습니다. 이로 인해 Albiriox의 주요 페이로드가 배포되었습니다.
관련 캠페인에서는 잠재적 피해자들을 PENNY 테마의 사기성 웹사이트로 유도하여 WhatsApp 다운로드 링크를 받으려면 전화번호를 제공하라는 메시지를 표시했습니다. 오스트리아 전화번호만 허용되었으며, 모든 제출 내용은 운영자가 관리하는 텔레그램 봇으로 전송되었습니다.
원격 제어 및 은밀한 작전
Albiriox는 활성화되면 암호화되지 않은 TCP 소켓을 통해 명령 및 제어 서버와 통신을 시작합니다. 이를 통해 위협 행위자는 완전한 원격 상호 작용에 사용되는 명령을 푸시할 수 있습니다. 주요 기능은 다음과 같습니다.
- 추가 원격 액세스 모듈이 지원하는 VNC 기반 장치 제어
- 민감한 데이터의 주문형 추출
- 악성 활동을 가리기 위한 검은색 또는 빈 화면 배포
- 운영 스텔스 유지를 위한 원격 볼륨 조정
한 가지 변형은 안드로이드의 접근성 서비스를 사용하여 모든 인터페이스 요소를 운영자에게 표시합니다. 이 기술은 많은 금융 애플리케이션에서 스크린샷과 화면 녹화를 차단하는 안드로이드의 FLAG_SECURE 기능의 제한을 우회하도록 설계되었습니다.
사기에 대한 인터페이스 보호 우회
접근성 기반 스트리밍 메커니즘은 공격자에게 기기 인터페이스의 노드 수준 표현을 제공합니다. 기존의 디스플레이 캡처 기술을 사용하지 않기 때문에 뱅킹 및 암호화폐 앱에 내장된 보호 기능을 작동시키지 않습니다. 결과적으로 공격자는 민감한 화면에 대한 지속적이고 제한 없는 가시성을 확보하게 됩니다.
오버레이 공격 및 자격 증명 수집
다른 안드로이드 뱅킹 트로이 목마와 마찬가지로, Albiriox는 하드코딩된 대상 애플리케이션 목록에 연결된 오버레이 공격을 사용합니다. 이러한 오버레이는 정상적인 로그인 패널이나 시스템 대화 상자처럼 표시되어 효과적인 자격 증명 도용을 가능하게 합니다. 또한, 이 맬웨어는 가짜 업데이트 메시지나 완전히 검은색 화면과 같은 오해의 소지가 있는 화면을 제공하여 백그라운드에서 사기 행위가 진행되는 동안 자신의 활동을 은폐합니다.
완벽하게 갖춰진 ODF 플랫폼
Albiriox는 첨단 온디바이스 사기성 멀웨어의 모든 특징을 보여줍니다. VNC 기반 원격 조작, 접근성 기반 자동화 워크플로, 표적 오버레이, 동적 수집 기법이 결합되어 공격자는 인증 제어를 우회하고 기존의 사기 탐지 메커니즘을 우회할 수 있습니다. 피해자의 정상적인 세션 내에서 직접 작동함으로써 이 멀웨어는 운영자에게 매우 높은 수준의 제어 권한과 그에 못지않게 상당한 악용 기회를 제공합니다.
