Albiriox MaaS kenkėjiška programa
Naujai iškilusi „Android“ grėsmė, žinoma kaip „Albiriox“, atspindi naujausią įrenginių sukčiavimo operacijų evoliuciją. Reklamuojama kaip kenkėjiškų programų kaip paslaugos modelis, ji teikia platų įrankių rinkinį nuotoliniam aukų įrenginių valdymui, automatiniam piktnaudžiavimui ir slaptam manipuliavimui.
Turinys
Komercinė grėsmė, sukurta sukčiavimui
„Albiriox“ reklamuojama kaip visavertė „MaaS“ paslauga, skirta palaikyti sukčiavimo įrenginyje prevenciją (ODF), sąveiką su įrenginiu realiuoju laiku ir sklandų ekrano manipuliavimą. Pirminiai duomenys rodo, kad operatoriai iš pradžių 2025 m. rugsėjo pabaigoje vykdė ribotą verbavimo etapą, o vėliau perėjo prie platesnio masto komercinio diegimo. Su forumų diskusijomis, kalbos vartojimu ir palaikančia infrastruktūra susiję rodikliai rodo, kad projektui vadovauja rusakalbiai kibernetiniai nusikaltėliai.
Kūrėjai taip pat pateikia pasirinktinį kūrimo įrankį, kuris, kaip pranešama, integruojasi su „Golden Crypt“ šifravimo paslauga, leisdamas klientams apeiti antivirusines priemones ir mobiliųjų įrenginių saugumo apsaugą.
Orientacija į platų taikymo lauką
Kenkėjiška programa įdiegia platų, daugiau nei 400, specialiai užkoduotų programų sąrašą. Jos apima įvairias jautrias kategorijas, įskaitant bankininkystę, finansines technologijas, kriptovaliutų biržas, mokėjimų apdorojimo sistemas, skaitmenines pinigines ir internetines prekybos platformas. Toks platus taikinių taikymo metodas atitinka jos tikslą – rinkti prisijungimo duomenis, inicijuoti nesąžiningas operacijas ir palaikyti slaptą prieigą prie finansinių programų.
Slaptas dislokavimas naudojant socialinę inžineriją
Platinimas labai priklauso nuo apgaulingų masalų, skirtų apgauti vartotojus, kad jie įdiegtų užmaskuotus „dropperius“. Užpuolikai derina socialinės inžinerijos temas su pakavimo ir klaidinimo metodais, kad apeitų statinės analizės įrankius. Vienoje kampanijoje, skirtoje Austrijos vartotojams, buvo naudojamos vokiečių kalba siunčiamos SMS žinutės ir sutrumpinti URL adresai, vedantys į padirbtus „Google Play“ parduotuvės puslapius tokioms programėlėms kaip „PENNY Angebote & Coupons“.
Aukos, pasirinkusios netikrą mygtuką „Įdiegti“, netyčia atsisiuntė „dropper“ tipo APK failą. Paleidus programą, ji paprašė leidimo įdiegti papildomą programinę įrangą, apsimesdama, kad pradeda įprastą atnaujinimą. Šis veiksmas suaktyvino pagrindinio „Albiriox“ paketo diegimą.
Susijusi kampanija nukreipė potencialias aukas į apgaulingą PENNY tematikos svetainę, kurioje jų buvo prašoma pateikti savo telefono numerį, kad gautų „WhatsApp“ atsisiuntimo nuorodą. Buvo priimami tik Austrijos numeriai, o visi prašymai buvo siunčiami operatorių kontroliuojamam „Telegram“ robotui.
Nuotolinis valdymas ir slaptas veikimas
Kai „Albiriox“ tampa aktyvus, jis užmezga ryšį su savo „Command-and-Control“ serveriu per neužšifruotą TCP lizdą. Tai leidžia grėsmių kūrėjams perduoti komandas, naudojamas visapusiškai nuotolinei sąveikai. Pagrindinės funkcijos:
- VNC pagrindu veikiantis įrenginių valdymas, palaikomas papildomo nuotolinės prieigos modulio
- Jautrių duomenų išgavimas pagal pareikalavimą
- Juodo arba tuščio ekrano diegimas siekiant paslėpti kenkėjišką veiklą
- Nuotolinis garsumo reguliavimas, siekiant išlaikyti veikimo slaptumą
Vienas variantas naudoja „Android“ pritaikymo neįgaliesiems paslaugas, kad operatoriams būtų pateikti visi sąsajos elementai. Ši technika specialiai sukurta tam, kad apeitų „Android“ funkcijos „FLAG_SECURE“ apribojimus, kurie neleidžia daryti ekrano kopijų ir įrašyti ekrano kopijų daugelyje finansinių programų.
Sąsajos apsaugos nuo sukčiavimo apėjimas
Prieinamumu pagrįstas srautinio perdavimo mechanizmas užpuolikams suteikia įrenginio sąsajos atvaizdavimą mazgo lygmeniu. Kadangi jis nenaudoja tradicinių ekrano fiksavimo metodų, jis nesuaktyvina integruotų apsaugos priemonių, kurias naudoja bankininkystės ir kriptovaliutų programėlės. Dėl to užpuolikai įgyja nuolatinį ir neribotą jautrių ekranų matomumą.
Perdangos atakos ir kredencialų rinkimas
Kaip ir kiti „Android“ bankininkystės Trojos arkliai, „Albiriox“ naudoja perdengimo atakas, susietas su jos užkoduotu tikslinių programų sąrašu. Šios perdengimo atakos atrodo kaip teisėti prisijungimo skydai arba sistemos dialogo langai, leidžiantys veiksmingai pavogti prisijungimo duomenis. Be to, kenkėjiška programa rodo klaidinančius ekranus, pvz., netikrus atnaujinimo raginimus arba visiškai juodus ekranus, kad paslėptų savo veiklą, kol fone vyksta sukčiavimo operacijos.
Pilnai įrengta ODF platforma
„Albiriox“ pasižymi visomis pažangios įrenginyje veikiančios sukčiavimo kenkėjiškos programos savybėmis. VNC pagrindu veikiančios nuotolinės manipuliacijos, prieinamumu pagrįstų automatizavimo darbo eigų, tikslinių perdengimų ir dinaminio duomenų rinkimo metodų derinys leidžia užpuolikams apeiti autentifikavimo kontrolę ir įprastus sukčiavimo aptikimo mechanizmus. Veikdama tiesiogiai aukos teisėtame seanse, kenkėjiška programa suteikia savo operatoriams išskirtinai aukštą kontrolės lygį ir ne mažiau didelę piktnaudžiavimo galimybę.
