Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Malware-ul MaaS Albiriox

Malware-ul MaaS Albiriox

Până în Mezo în Malware mobil, Troian bancar
Tradu in:

O amenințare Android recent apărută, cunoscută sub numele de Albiriox, reprezintă cea mai recentă evoluție în operațiunile de fraudă pe dispozitive. Promovată sub un model de malware ca serviciu, aceasta oferă un set extins de instrumente pentru controlul de la distanță, abuzul automat și manipularea ascunsă a dispozitivelor victimelor.

O amenințare comercializată, creată pentru fraudă

Albiriox este comercializat ca o ofertă MaaS completă, concepută pentru a sprijini frauda pe dispozitiv (ODF), interacțiunea în timp real cu dispozitivele și manipularea fără probleme a ecranului. Activitățile inițiale sugerează că operatorii au efectuat inițial o fază de recrutare limitată la sfârșitul lunii septembrie 2025, înainte de a trece la o implementare comercială mai amplă. Indicatorii legați de discuțiile pe forumuri, utilizarea limbii și infrastructura de suport indică faptul că infractorii cibernetici vorbitori de limbă rusă sunt în fruntea proiectului.

Dezvoltatorii oferă și un constructor personalizat care, se pare, se integrează cu serviciul de criptare Golden Crypt, permițând clienților să evite instrumentele antivirus și apărarea de securitate mobilă.

Vizarea unui peisaj larg de aplicații

Malware-ul încorporează o listă extinsă, codificată hard, de peste 400 de aplicații vizate. Acestea acoperă o gamă largă de categorii sensibile, inclusiv servicii bancare, fintech, burse de criptomonede, procesatori de plăți, portofele digitale și platforme de tranzacționare online. Această abordare largă de direcționare se aliniază cu obiectivul său de a captura acreditări, de a iniția tranzacții frauduloase și de a menține accesul secret la aplicațiile financiare.

Implementare secretă prin inginerie socială

Distribuția se bazează în mare măsură pe momeli înșelătoare concepute pentru a păcăli utilizatorii să instaleze dropper-uri deghizate. Atacatorii combină teme de inginerie socială cu tehnici de împachetare și ofuscare pentru a evita instrumentele de analiză statică. O campanie axată pe utilizatorii austrieci a folosit mesaje SMS în limba germană și adrese URL scurtate, ceea ce a dus la pagini contrafăcute din Magazinul Google Play pentru aplicații precum „PENNY Angebote & Coupons”.

Victimele care au selectat butonul fals „Instalare” au descărcat fără să știe un fișier APK de tip dropper. După lansare, aplicația a solicitat permisiunea de a instala software suplimentar, pretinzând că inițiază o actualizare de rutină. Această acțiune a declanșat implementarea principală a sarcinii utile Albiriox.

O campanie similară a redirecționat potențialele victime către un site web fraudulos cu tematică PENNY, unde li s-a solicitat să furnizeze numărul lor de telefon pentru a primi un link de descărcare WhatsApp. Au fost acceptate doar numere austriece, iar toate solicitările au fost trimise către un bot Telegram controlat de operatori.

Telecomandă și operare ascunsă

Odată activ, Albiriox stabilește comunicarea cu serverul său de comandă și control printr-un socket TCP necriptat. Acest lucru permite actorilor amenințători să transmită comenzi utilizate pentru interacțiune completă la distanță. Printre capacitățile cheie se numără:

  • Controlul dispozitivelor bazat pe VNC, susținut de un modul suplimentar de acces la distanță
  • Extragerea la cerere a datelor sensibile
  • Implementarea ecranului negru sau gol pentru a ascunde activitatea rău intenționată
  • Ajustări ale volumului de la distanță pentru menținerea discreției operaționale

O variantă folosește serviciile de accesibilitate ale Android pentru a prezenta toate elementele interfeței operatorilor. Această tehnică este concepută special pentru a eluda restricțiile funcției FLAG_SECURE a Android, care previne capturile de ecran și înregistrările de ecran în cadrul multor aplicații financiare.

Ocolirea protecțiilor interfeței împotriva fraudei

Mecanismul de streaming bazat pe accesibilitate oferă atacatorilor o reprezentare la nivel de nod a interfeței dispozitivului. Deoarece evită tehnicile tradiționale de captare a afișajului, nu declanșează protecțiile încorporate utilizate de aplicațiile bancare și de criptomonede. Drept urmare, atacatorii obțin vizibilitate persistentă și nerestricționată asupra ecranelor sensibile.

Atacuri suprapuse și recoltare de acreditări

În conformitate cu alți troieni bancari Android, Albiriox folosește atacuri suprapuse legate de lista sa hardcoded de aplicații vizate. Aceste suprapuneri apar ca panouri de conectare legitime sau dialoguri de sistem, permițând furtul eficient de acreditări. În plus, malware-ul servește ecrane înșelătoare, cum ar fi solicitări false de actualizare sau afișaje complet negre, pentru a-și ascunde activitățile în timp ce operațiunile frauduloase se desfășoară în fundal.

O platformă ODF complet echipată

Albiriox demonstrează toate caracteristicile caracteristice ale unui malware avansat pentru fraudă pe dispozitiv. Combinația sa de manipulare la distanță bazată pe VNC, fluxuri de lucru automatizate bazate pe accesibilitate, suprapuneri direcționate și tehnici dinamice de recoltare permite atacatorilor să ocolească controalele de autentificare și să treacă de mecanismele convenționale de detectare a fraudelor. Operând direct în sesiunea legitimă a unei victime, malware-ul oferă operatorilor săi un nivel excepțional de ridicat de control și o oportunitate la fel de semnificativă de abuz.

Trending

Cele mai văzute

Se încarcă...