Perisian Hasad Albiriox MaaS
Ancaman Android yang baru muncul, dikenali sebagai Albiriox, mewakili evolusi terkini dalam operasi penipuan pada peranti. Diiklankan di bawah model perisian hasad-sebagai-sebuah-perkhidmatan, ia menyampaikan kit alat yang luas untuk kawalan jauh, penyalahgunaan automatik dan manipulasi tersembunyi peranti mangsa.
Isi kandungan
Ancaman Komersial Dibina untuk Penipuan
Albiriox dipasarkan sebagai tawaran MaaS berciri penuh yang direka bentuk untuk menyokong penipuan pada peranti (ODF), interaksi peranti masa nyata dan manipulasi skrin yang lancar. Aktiviti awal mencadangkan pengendali pada mulanya menjalankan fasa pengambilan terhad pada akhir September 2025 sebelum beralih kepada pelancaran komersial yang lebih luas. Petunjuk yang terikat pada perbincangan forum, penggunaan bahasa dan infrastruktur sokongan menunjukkan penjenayah siber berbahasa Rusia yang menerajui projek itu.
Pembangun juga menyediakan pembina tersuai yang dilaporkan berintegrasi dengan perkhidmatan penyulitan Golden Crypt, membolehkan pelanggan mengelak alat antivirus dan pertahanan keselamatan mudah alih.
Menyasarkan Landskap Aplikasi Luas
Perisian hasad membenamkan senarai berkod keras yang meluas daripada lebih 400 aplikasi yang disasarkan. Ini merangkumi pelbagai kategori sensitif, termasuk perbankan, fintech, pertukaran mata wang kripto, pemproses pembayaran, dompet digital dan platform dagangan dalam talian. Pendekatan penyasaran luas ini sejajar dengan matlamatnya untuk menangkap bukti kelayakan, memulakan transaksi penipuan dan mengekalkan akses rahsia kepada apl kewangan.
Penggunaan Tersembunyi Melalui Kejuruteraan Sosial
Pengedaran sangat bergantung pada gewang memperdaya yang direka untuk menipu pengguna supaya memasang penitis yang menyamar. Penyerang menggandingkan tema kejuruteraan sosial dengan teknik pembungkusan dan pengeliruan untuk mengelakkan alat analisis statik. Satu kempen memfokuskan kepada pengguna Austria menggunakan mesej SMS bahasa Jerman dan memendekkan URL yang membawa kepada halaman Gedung Google Play palsu untuk apl seperti 'PENNY Angebote & Kupon.'
Mangsa yang memilih butang 'Pasang' palsu tanpa disedari telah memuat turun APK penitis. Selepas pelancaran, apl itu meminta kebenaran untuk memasang perisian tambahan, berpura-pura untuk memulakan kemas kini rutin. Tindakan ini mencetuskan penggunaan muatan utama Albiriox.
Kempen yang berkaitan telah menghalakan semula bakal mangsa ke tapak web bertema PENNY yang menipu, di mana mereka digesa untuk membekalkan nombor telefon mereka untuk menerima pautan muat turun WhatsApp. Hanya nombor Austria yang diterima, dan semua penyerahan dihantar ke bot Telegram yang dikawal oleh pengendali.
Kawalan Jauh dan Operasi Tersembunyi
Setelah aktif, Albiriox mewujudkan komunikasi dengan pelayan Command-and-Control melalui soket TCP yang tidak disulitkan. Ini membolehkan pelaku ancaman menolak arahan yang digunakan untuk interaksi jauh penuh. Keupayaan utama termasuk:
- Kawalan peranti berasaskan VNC, disokong oleh modul akses jauh tambahan
- Pengekstrakan atas permintaan data sensitif
- Penggunaan skrin hitam atau kosong untuk mengaburkan aktiviti berniat jahat
- Pelarasan volum jauh untuk mengekalkan senyap operasi
Satu varian menggunakan perkhidmatan kebolehaksesan Android untuk membentangkan semua elemen antara muka kepada pengendali. Teknik ini direka bentuk secara jelas untuk memintas sekatan ciri FLAG_SECURE Android, yang menghalang tangkapan skrin dan rakaman skrin dalam banyak aplikasi kewangan.
Melangkau Perlindungan Antara Muka untuk Penipuan
Mekanisme penstriman didorong kebolehaksesan memberikan penyerang perwakilan peringkat nod antara muka peranti. Kerana ia mengelakkan teknik tangkapan paparan tradisional, ia tidak mencetuskan perlindungan terbina dalam yang digunakan oleh aplikasi perbankan dan mata wang kripto. Akibatnya, penyerang mendapat keterlihatan skrin sensitif yang berterusan dan tidak terhad.
Serangan Tindanan dan Penuaian Kredensial
Selaras dengan trojan perbankan Android yang lain, Albiriox menggunakan serangan tindanan yang terikat pada senarai aplikasi yang disasarkan berkod kerasnya. Tindanan ini muncul sebagai panel log masuk atau dialog sistem yang sah, membolehkan kecurian bukti kelayakan yang berkesan. Selain itu, perisian hasad menyediakan skrin yang mengelirukan, seperti gesaan kemas kini palsu atau paparan hitam sepenuhnya, untuk menyembunyikan aktivitinya sementara operasi penipuan diteruskan di latar belakang.
Platform ODF yang Dilengkapi Penuh
Albiriox menunjukkan semua ciri ciri perisian hasad penipuan pada peranti lanjutan. Gabungan manipulasi jauh berasaskan VNC, aliran kerja automasi didorong kebolehaksesan, tindanan disasarkan dan teknik penuaian dinamik membolehkan penyerang memintas kawalan pengesahan dan melepasi mekanisme pengesanan penipuan konvensional. Dengan beroperasi terus di dalam sesi sah mangsa, perisian hasad memberikan pengendalinya tahap kawalan yang sangat tinggi dan peluang yang sama penting untuk penyalahgunaan.
