Albiriox MaaS ļaunprogrammatūra
Jaunizveidots Android apdraudējums, kas pazīstams kā Albiriox, atspoguļo jaunāko ierīču krāpšanas operāciju attīstības evolūciju. Tas tiek reklamēts kā ļaunprogrammatūra kā pakalpojums modelis un nodrošina plašu rīku komplektu upuru ierīču tālvadībai, automatizētai ļaunprātīgai izmantošanai un slepenai manipulācijai.
Satura rādītājs
Komercializēts drauds, kas radīts krāpšanai
Albiriox tiek reklamēts kā pilnvērtīgs MaaS piedāvājums, kas paredzēts, lai atbalstītu krāpšanas apkarošanu ierīcē (ODF), ierīču mijiedarbību reāllaikā un netraucētu ekrāna manipulāciju. Sākotnējā aktivitāte liecina, ka operatori sākotnēji 2025. gada septembra beigās veica ierobežotu vervēšanas fāzi, pirms pārgāja uz plašāku komerciālu ieviešanu. Ar forumu diskusijām, valodas lietojumu un atbalsta infrastruktūru saistītie rādītāji norāda uz krievvalodīgiem kibernoziedzniekiem, kas vada projektu.
Izstrādātāji nodrošina arī pielāgotu veidotāju, kas, kā ziņots, integrējas ar Golden Crypt šifrēšanas pakalpojumu, ļaujot klientiem apiet pretvīrusu rīkus un mobilo ierīču drošības aizsardzību.
Orientēšanās uz plašu pielietojumu ainavu
Ļaunprogrammatūra iestrādā plašu cietkodētu sarakstu ar vairāk nekā 400 mērķtiecīgām lietojumprogrammām. Tās aptver plašu sensitīvu kategoriju klāstu, tostarp banku pakalpojumus, finanšu tehnoloģijas, kriptovalūtu biržas, maksājumu apstrādātājus, digitālos makus un tiešsaistes tirdzniecības platformas. Šī plašā mērķauditorijas atlases pieeja atbilst tās mērķim iegūt akreditācijas datus, uzsākt krāpnieciskus darījumus un uzturēt slepenu piekļuvi finanšu lietotnēm.
Slepena izvietošana, izmantojot sociālo inženieriju
Izplatīšana lielā mērā balstās uz maldinošām ēsmām, kas paredzētas, lai apmānītu lietotājus, liekot viņiem instalēt maskētus droperus. Uzbrucēji apvieno sociālās inženierijas tēmas ar pakošanas un slēpšanas metodēm, lai apietu statiskās analīzes rīkus. Vienā kampaņā, kas bija vērsta uz Austrijas lietotājiem, tika izmantotas vācu valodas īsziņas un saīsināti URL, kas noveda pie viltotām Google Play veikala lapām tādām lietotnēm kā “PENNY Angebote & Coupons”.
Upuri, kuri izvēlējās viltus pogu “Instalēt”, nezinot lejupielādēja dropper APK failu. Pēc palaišanas lietotne pieprasīja atļauju instalēt papildu programmatūru, izliekoties, ka sāk regulāru atjauninājumu. Šī darbība aktivizēja galvenās Albiriox vērtuma izvietošanu.
Saistīta kampaņa novirzīja potenciālos upurus uz krāpniecisku vietni PENNY tematikā, kur viņiem tika lūgts norādīt savu tālruņa numuru, lai saņemtu WhatsApp lejupielādes saiti. Tika pieņemti tikai Austrijas numuri, un visi iesniegumi tika nosūtīti uz operatoru kontrolētu Telegram robotprogrammatūru.
Tālvadības pults un slepena darbība
Kad Albiriox ir aktīvs, tas izveido saziņu ar savu Command-and-Control serveri, izmantojot nešifrētu TCP ligzdu. Tas ļauj apdraudējumu dalībniekiem pārsūtīt komandas, kas tiek izmantotas pilnīgai attālinātai mijiedarbībai. Galvenās iespējas ietver:
- VNC balstīta ierīces vadība, ko atbalsta papildu attālās piekļuves modulis
- Sensitīvu datu ieguve pēc pieprasījuma
- Melna vai tukša ekrāna izvietošana, lai slēptu ļaunprātīgu darbību
- Attālināta skaļuma regulēšana, lai saglabātu darbības slepenību
Viens variants izmanto Android pieejamības pakalpojumus, lai operatoriem parādītu visus saskarnes elementus. Šī metode ir īpaši izstrādāta, lai apietu Android FLAG_SECURE funkcijas ierobežojumus, kas daudzās finanšu lietojumprogrammās neļauj veidot ekrānuzņēmumus un ekrāna ierakstus.
Saskarnes aizsardzības apiešana krāpšanas gadījumā
Pieejamības vadītais straumēšanas mehānisms uzbrucējiem sniedz ierīces saskarnes attēlojumu mezglu līmenī. Tā kā tas neizmanto tradicionālās displeja uztveršanas metodes, tas neaktivizē iebūvētos aizsardzības mehānismus, ko izmanto banku un kriptovalūtu lietotnes. Rezultātā uzbrucēji iegūst pastāvīgu, neierobežotu jutīgu ekrānu redzamību.
Pārklājuma uzbrukumi un akreditācijas datu ieguve
Tāpat kā citi Android banku Trojas zirgi, Albiriox izmanto pārklājuma uzbrukumus, kas saistīti ar tā iekodēto mērķa lietojumprogrammu sarakstu. Šie pārklājumi parādās kā likumīgi pieteikšanās paneļi vai sistēmas dialoglodziņi, ļaujot efektīvi zādzēt akreditācijas datus. Turklāt ļaunprogrammatūra parāda maldinošus ekrānus, piemēram, viltotus atjaunināšanas uzvednes vai pilnīgi melnus displejus, lai slēptu savas darbības, kamēr fonā notiek krāpnieciskas darbības.
Pilnībā aprīkota ODF platforma
Albiriox demonstrē visas uzlabotas ierīcē iebūvētas krāpšanas ļaunprogrammatūras raksturīgākās iezīmes. Tās VNC balstītas attālinātas manipulācijas, pieejamības vadītu automatizētu darbplūsmu, mērķtiecīgu pārklājumu un dinamisko datu ieguves metožu apvienojums ļauj uzbrucējiem apiet autentifikācijas kontroles un apiet tradicionālos krāpšanas atklāšanas mehānismus. Darbojoties tieši upura likumīgajā sesijā, ļaunprogrammatūra nodrošina tās operatoriem ārkārtīgi augstu kontroles līmeni un tikpat ievērojamas ļaunprātīgas izmantošanas iespējas.
