Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware Albiriox MaaS-malware

Albiriox MaaS-malware

Tegen Mezo in Mobiele malware, Bankieren Trojan
Vertalen naar:

Een recent opgedoken Android-dreiging, bekend als Albiriox, vertegenwoordigt de nieuwste evolutie in fraudebestrijding op apparaten. Het wordt aangeboden als een malware-as-a-service-model en biedt een uitgebreide toolkit voor controle op afstand, geautomatiseerd misbruik en heimelijke manipulatie van de apparaten van slachtoffers.

Een gecommercialiseerde dreiging, bedoeld voor fraude

Albiriox wordt op de markt gebracht als een volledig MaaS-aanbod, ontworpen ter ondersteuning van fraudebestrijding op het apparaat (ODF), realtime apparaatinteractie en naadloze schermmanipulatie. Uit de eerste gegevens blijkt dat de operators eind september 2025 aanvankelijk een beperkte wervingsfase hebben uitgevoerd voordat ze overgingen op een bredere commerciële uitrol. Indicatoren gerelateerd aan forumdiscussies, taalgebruik en ondersteunende infrastructuur wijzen erop dat Russischtalige cybercriminelen het voortouw nemen in het project.

De ontwikkelaars bieden ook een aangepaste builder die naar verluidt integreert met de Golden Crypt-cryptoservice, waardoor klanten antivirusprogramma's en mobiele beveiligingsmaatregelen kunnen omzeilen.

Richten op een breed applicatielandschap

De malware bevat een uitgebreide, hardgecodeerde lijst met meer dan 400 applicaties die het doelwit zijn. Deze omvatten een breed scala aan gevoelige categorieën, waaronder bankieren, fintech, cryptobeurzen, betalingsverwerkers, digitale wallets en online handelsplatformen. Deze brede targetingaanpak sluit aan bij het doel om inloggegevens te verzamelen, frauduleuze transacties te initiëren en heimelijke toegang tot financiële apps te behouden.

Verborgen inzet via social engineering

De distributie is sterk afhankelijk van misleidende lokmiddelen die gebruikers ertoe verleiden gecamoufleerde droppers te installeren. Aanvallers combineren social engineering-thema's met verpakkings- en verduisteringstechnieken om statische analysetools te omzeilen. Eén campagne, gericht op Oostenrijkse gebruikers, maakte gebruik van Duitstalige sms-berichten en verkorte URL's die leidden naar namaakpagina's in de Google Play Store voor apps zoals 'PENNY Angebote & Coupons'.

Slachtoffers die op de nep-knop 'Installeren' klikten, downloadden onbewust een dropper-APK. Na de lancering vroeg de app toestemming om extra software te installeren, alsof het een routine-update initieerde. Deze actie activeerde de implementatie van de belangrijkste Albiriox-payload.

Een gerelateerde campagne leidde potentiële slachtoffers om naar een frauduleuze website met een PENNY-thema, waar ze werden gevraagd hun telefoonnummer in te voeren om een WhatsApp-downloadlink te ontvangen. Alleen Oostenrijkse nummers werden geaccepteerd en alle inzendingen werden doorgestuurd naar een Telegram-bot die door de beheerders werd beheerd.

Afstandsbediening en geheime bediening

Zodra Albiriox actief is, communiceert het met zijn Command-and-Control-server via een ongecodeerde TCP-socket. Dit stelt kwaadwillenden in staat om commando's te pushen die nodig zijn voor volledige interactie op afstand. Belangrijke mogelijkheden zijn onder andere:

  • VNC-gebaseerde apparaatbesturing, ondersteund door een extra module voor toegang op afstand
  • On-demand extractie van gevoelige gegevens
  • Inzet van een zwart of leeg scherm om kwaadaardige activiteiten te verbergen
  • Op afstand het volume aanpassen om de operationele stealth te behouden

Eén variant maakt gebruik van de toegankelijkheidsdiensten van Android om alle interface-elementen aan de beheerders te presenteren. Deze techniek is specifiek ontworpen om de beperkingen van Android's FLAG_SECURE-functie te omzeilen, die het maken van screenshots en schermopnames in veel financiële apps verhindert.

Het omzeilen van interfacebeveiligingen tegen fraude

Het toegankelijkheidsgestuurde streamingmechanisme geeft aanvallers een weergave op knooppuntniveau van de apparaatinterface. Omdat het traditionele technieken voor schermopname omzeilt, worden de ingebouwde beveiligingen van bank- en cryptovaluta-apps niet geactiveerd. Hierdoor krijgen aanvallers permanent en onbeperkt zicht op gevoelige schermen.

Overlay-aanvallen en het verzamelen van inloggegevens

Net als andere Android-bankingtrojans maakt Albiriox gebruik van overlay-aanvallen die gekoppeld zijn aan de hardgecodeerde lijst met doelwitapplicaties. Deze overlays verschijnen als legitieme inlogschermen of systeemdialogen, wat effectieve diefstal van inloggegevens mogelijk maakt. Daarnaast gebruikt de malware misleidende schermen, zoals neppe updateprompts of volledig zwarte schermen, om zijn activiteiten te verbergen terwijl frauduleuze handelingen op de achtergrond plaatsvinden.

Een volledig uitgerust ODF-platform

Albiriox vertoont alle kenmerken van geavanceerde malware voor fraude op het apparaat. De combinatie van VNC-gebaseerde manipulatie op afstand, toegankelijkheidsgestuurde automatiseringsworkflows, gerichte overlays en dynamische harvestingtechnieken stelt aanvallers in staat om authenticatiecontroles te omzeilen en conventionele fraudedetectiemechanismen te omzeilen. Door rechtstreeks binnen de legitieme sessie van een slachtoffer te opereren, biedt de malware zijn gebruikers een uitzonderlijk hoge mate van controle en een even belangrijke mogelijkheid tot misbruik.

Trending

Meest bekeken

Bezig met laden...