Albiriox MaaS-skadevare
En nylig dukket opp Android-trussel, kjent som Albiriox, representerer den nyeste utviklingen innen svindeloperasjoner på enheter. Den annonseres under en malware-as-a-service-modell, og leverer et omfattende verktøysett for fjernkontroll, automatisert misbruk og snikende manipulering av ofrenes enheter.
Innholdsfortegnelse
En kommersialisert trussel bygget for svindel
Albiriox markedsføres som et fullfunksjonelt MaaS-tilbud designet for å støtte enhetssvindel (ODF), sanntidsinteraksjon med enheter og sømløs skjermmanipulering. Tidlig aktivitet tyder på at operatørene i utgangspunktet gjennomførte en begrenset rekrutteringsfase i slutten av september 2025 før de gikk over til en bredere kommersiell utrulling. Indikatorer knyttet til forumdiskusjoner, språkbruk og støttende infrastruktur peker mot russisktalende nettkriminelle som leder prosjektet.
Utviklerne tilbyr også en tilpasset bygger som angivelig integreres med krypteringstjenesten Golden Crypt, slik at kunder kan omgå antivirusverktøy og mobilsikkerhetsforsvar.
Målgruppe: Målgruppe
Skadevaren inneholder en omfattende, hardkodet liste med mer enn 400 målrettede applikasjoner. Disse spenner over et bredt spekter av sensitive kategorier, inkludert bankvirksomhet, fintech, kryptovalutabørser, betalingsbehandlere, digitale lommebøker og nettbaserte handelsplattformer. Denne brede målrettingstilnærmingen er i tråd med målet om å fange legitimasjon, igangsette uredelige transaksjoner og opprettholde skjult tilgang til finansielle apper.
Skjult utplassering gjennom sosial manipulering
Distribusjonen er i stor grad avhengig av villedende lokkemidler som er utformet for å lure brukere til å installere forkledde droppere. Angripere kombinerer sosial manipulering med pakkings- og obfuskeringsteknikker for å omgå statiske analyseverktøy. En kampanje fokusert på østerrikske brukere brukte tyskspråklige SMS-meldinger og forkortede URL-er som førte til forfalskede Google Play Store-sider for apper som «PENNY Angebote & Coupons».
Ofre som valgte den falske «Installer»-knappen lastet uvitende ned en dropper-APK. Etter oppstart ba appen om tillatelse til å installere tilleggsprogramvare, og lot som den startet en rutineoppdatering. Denne handlingen utløste utrullingen av hovednyttelasten til Albiriox.
En relatert kampanje omdirigerte potensielle ofre til et falskt PENNY-tema-nettsted, hvor de ble bedt om å oppgi telefonnummeret sitt for å motta en nedlastingslenke til WhatsApp. Kun østerrikske numre ble akseptert, og alle innsendinger ble sendt til en Telegram-bot kontrollert av operatørene.
Fjernkontroll og skjult drift
Når den er aktiv, etablerer Albiriox kommunikasjon med sin Command-and-Control-server via en ukryptert TCP-socket. Dette gjør det mulig for trusselaktører å sende kommandoer som brukes til full ekstern interaksjon. Viktige funksjoner inkluderer:
- VNC-basert enhetskontroll, støttet av en ekstra fjerntilgangsmodul
- Uttrekk av sensitive data på forespørsel
- Implementering av svart eller blank skjerm for å skjule ondsinnet aktivitet
- Fjernjustering av volum for å opprettholde stealth-funksjonalitet
Én variant bruker Androids tilgjengelighetstjenester for å presentere alle grensesnittelementer for operatørene. Denne teknikken er spesielt utviklet for å omgå begrensningene i Androids FLAG_SECURE-funksjon, som forhindrer skjermbilder og skjermopptak i mange økonomiske applikasjoner.
Omgå grensesnittbeskyttelse mot svindel
Den tilgjengelighetsdrevne strømmemekanismen gir angripere en representasjon av enhetsgrensesnittet på nodenivå. Fordi den unngår tradisjonelle skjermopptaksteknikker, utløser den ikke innebygde beskyttelser som brukes av bank- og kryptovalutaapper. Som et resultat får angriperne vedvarende, ubegrenset innsyn i sensitive skjermer.
Overleggsangrep og innsamling av legitimasjonsinformasjon
I tråd med andre Android-banktrojanere bruker Albiriox overleggsangrep knyttet til sin hardkodede liste over målrettede applikasjoner. Disse overleggene vises som legitime innloggingspaneler eller systemdialoger, noe som muliggjør effektivt tyveri av legitimasjon. I tillegg bruker skadevaren villedende skjermbilder, for eksempel falske oppdateringsmeldinger eller helt svarte skjermer, for å skjule aktivitetene sine mens uredelige operasjoner pågår i bakgrunnen.
En fullt utstyrt ODF-plattform
Albiriox demonstrerer alle kjennetegnene til avansert svindelskadevare på enheten. Blandingen av VNC-basert fjernmanipulering, tilgjengelighetsdrevne automatiseringsarbeidsflyter, målrettede overlegg og dynamiske høstingsteknikker lar angripere omgå autentiseringskontroller og slippe forbi konvensjonelle svindeldeteksjonsmekanismer. Ved å operere direkte i offerets legitime økt gir skadevaren operatørene et usedvanlig høyt kontrollnivå og en like betydelig mulighet for misbruk.
