Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Albiriox MaaS Malware

Albiriox MaaS Malware

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy
Przetłumacz na:

Nowe zagrożenie dla systemu Android, znane jako Albiriox, stanowi najnowszy etap ewolucji w oszustwach na urządzeniach. Reklamowane w modelu „malware as a service”, oferuje rozbudowany zestaw narzędzi do zdalnego sterowania, zautomatyzowanego nadużycia i ukrytej manipulacji urządzeniami ofiar.

Komercyjne zagrożenie stworzone w celu oszustwa

Albiriox jest reklamowany jako w pełni funkcjonalna usługa MaaS, zaprojektowana z myślą o obsłudze oszustw na urządzeniach (ODF), interakcji z urządzeniami w czasie rzeczywistym i bezproblemowej manipulacji ekranem. Wstępne dane sugerują, że operatorzy początkowo przeprowadzili ograniczoną fazę rekrutacji pod koniec września 2025 r., zanim przeszli do szerszego wdrożenia komercyjnego. Wskaźniki powiązane z dyskusjami na forach, użyciem języka i infrastrukturą pomocniczą wskazują na to, że projekt prowadzą rosyjskojęzyczni cyberprzestępcy.

Twórcy udostępnili również niestandardowy kreator, który podobno integruje się z usługą szyfrującą Golden Crypt, umożliwiając klientom omijanie narzędzi antywirusowych i zabezpieczeń urządzeń mobilnych.

Skierowanie do szerokiego spektrum zastosowań

Szkodliwe oprogramowanie zawiera obszerną, zakodowaną na stałe listę ponad 400 ukierunkowanych aplikacji. Obejmują one szeroki zakres wrażliwych kategorii, w tym bankowość, fintech, giełdy kryptowalut, procesory płatności, portfele cyfrowe i platformy handlu online. To szerokie podejście do ataków jest zgodne z celem, jakim jest przechwytywanie danych uwierzytelniających, inicjowanie oszukańczych transakcji i utrzymywanie ukrytego dostępu do aplikacji finansowych.

Tajne rozmieszczenie za pomocą inżynierii społecznej

Dystrybucja w dużej mierze opiera się na zwodniczych przynętach, których celem jest nakłonienie użytkowników do zainstalowania ukrytych dropperów. Atakujący łączą motywy socjotechniczne z technikami pakowania i zaciemniania, aby ominąć narzędzia do analizy statycznej. Jedna z kampanii skoncentrowana na użytkownikach austriackich wykorzystywała niemieckojęzyczne wiadomości SMS i skrócone adresy URL, co prowadziło do fałszywych stron w sklepie Google Play dla aplikacji takich jak „PENNY Angebote & Coupons”.

Ofiary, które kliknęły fałszywy przycisk „Instaluj”, nieświadomie pobrały plik APK droppera. Po uruchomieniu aplikacja zażądała pozwolenia na instalację dodatkowego oprogramowania, udając, że inicjuje rutynową aktualizację. To działanie spowodowało wdrożenie głównego ładunku Albiriox.

Powiązana kampania przekierowywała potencjalne ofiary na fałszywą stronę internetową o tematyce PENNY, gdzie proszono je o podanie numeru telefonu w celu otrzymania linku do pobrania WhatsApp. Akceptowane były wyłącznie numery austriackie, a wszystkie zgłoszenia były wysyłane do bota Telegrama kontrolowanego przez operatorów.

Zdalne sterowanie i tajne działanie

Po aktywacji Albiriox nawiązuje komunikację ze swoim serwerem Command-and-Control za pośrednictwem niezaszyfrowanego gniazda TCP. Umożliwia to atakującym przesyłanie poleceń używanych do pełnej zdalnej interakcji. Kluczowe funkcje obejmują:

  • Sterowanie urządzeniem oparte na VNC, obsługiwane przez dodatkowy moduł dostępu zdalnego
  • Ekstrakcja wrażliwych danych na żądanie
  • Wdrożenie czarnego lub pustego ekranu w celu ukrycia złośliwej aktywności
  • Zdalna regulacja głośności w celu zachowania anonimowości operacyjnej

Jeden z wariantów wykorzystuje usługi ułatwień dostępu Androida do prezentowania operatorom wszystkich elementów interfejsu. Ta technika została zaprojektowana specjalnie w celu obejścia ograniczeń funkcji FLAG_SECURE w Androidzie, która uniemożliwia wykonywanie zrzutów ekranu i nagrywanie ekranu w wielu aplikacjach finansowych.

Omijanie zabezpieczeń interfejsu przed oszustwami

Mechanizm strumieniowania oparty na dostępności zapewnia atakującym reprezentację interfejsu urządzenia na poziomie węzła. Ponieważ unika on tradycyjnych technik przechwytywania obrazu, nie aktywuje wbudowanych zabezpieczeń stosowanych w aplikacjach bankowych i kryptowalutowych. W rezultacie atakujący uzyskują stały, nieograniczony wgląd w wrażliwe ekrany.

Ataki nakładkowe i zbieranie danych uwierzytelniających

Podobnie jak inne trojany bankowe dla Androida, Albiriox stosuje ataki nakładkowe powiązane z zakodowaną na stałe listą aplikacji docelowych. Nakładki te pojawiają się jako legalne panele logowania lub okna dialogowe systemu, umożliwiając skuteczną kradzież danych uwierzytelniających. Ponadto złośliwe oprogramowanie wyświetla mylące ekrany, takie jak fałszywe monity o aktualizację lub całkowicie czarne ekrany, aby ukryć swoją aktywność, podczas gdy w tle trwają oszukańcze operacje.

W pełni wyposażona platforma ODF

Albiriox wykazuje wszystkie charakterystyczne cechy zaawansowanego złośliwego oprogramowania do oszustw na urządzeniach. Połączenie zdalnej manipulacji opartej na VNC, zautomatyzowanych przepływów pracy opartych na dostępności, ukierunkowanych nakładek i dynamicznych technik gromadzenia danych pozwala atakującym ominąć mechanizmy uwierzytelniania i konwencjonalne mechanizmy wykrywania oszustw. Działając bezpośrednio w ramach legalnej sesji ofiary, złośliwe oprogramowanie zapewnia operatorom wyjątkowo wysoki poziom kontroli i równie duże możliwości nadużyć.

Popularne

Oszustwo polegające na wstrzymaniu wiadomości...

Phishing, Spam
Cyberprzestępcy nieustannie udoskonalają oszustwa oparte na wiadomościach e-mail, a oszustwo „Wstrzymana wiadomość przychodząca” to kolejny przykład tego, jak przekonująco spreparowany spam może zwabić niczego niepodejrzewających odbiorców. Te fałszywe alerty fałszywie informują o wstrzymaniu wiadomości w skrzynce odbiorczej i próbują skierować Cię na stronę phishingową. Należy pamiętać, że te...

Najczęściej oglądane

Ładowanie...