Albiriox MaaS Malware
Недавно обнаруженная угроза для Android, известная как Albiriox, представляет собой новейшее поколение мошеннических операций на устройствах. Распространяясь по модели «вредоносное ПО как услуга», она предоставляет обширный набор инструментов для удалённого управления, автоматизированного злоупотребления и скрытого манипулирования устройствами жертв.
Оглавление
Коммерческая угроза, созданная для мошенничества
Albiriox позиционируется как полнофункциональное MaaS-решение, предназначенное для поддержки мошенничества на устройствах (ODF), взаимодействия с устройствами в режиме реального времени и беспрепятственного манипулирования экраном. Ранние данные свидетельствуют о том, что операторы первоначально провели ограниченный этап набора пользователей в конце сентября 2025 года, прежде чем перейти к более широкому коммерческому развертыванию. Данные, связанные с обсуждениями на форумах, использованием языка и вспомогательной инфраструктурой, указывают на то, что проект возглавляют русскоязычные киберпреступники.
Разработчики также предоставляют специальный конструктор, который, как сообщается, интегрируется с сервисом шифрования Golden Crypt, позволяя клиентам обходить антивирусные инструменты и средства мобильной безопасности.
Ориентация на широкий спектр приложений
Вредоносное ПО содержит обширный список из более чем 400 целевых приложений, которые жестко запрограммированы. Они охватывают широкий спектр конфиденциальных категорий, включая банковское дело, финтех, криптовалютные биржи, платежные системы, цифровые кошельки и онлайн-торговые платформы. Такой широкий подход к выбору целей соответствует цели злоумышленника: сбору учетных данных, инициированию мошеннических транзакций и обеспечению скрытого доступа к финансовым приложениям.
Тайное развертывание с помощью социальной инженерии
Распространение вредоносных программ в значительной степени основано на обманных приманках, призванных заставить пользователей установить замаскированные дропперы. Злоумышленники сочетают методы социальной инженерии с методами упаковки и обфускации, чтобы обойти инструменты статического анализа. Одна из кампаний, ориентированная на австрийских пользователей, использовала SMS-сообщения на немецком языке и сокращённые URL-адреса, ведущие на поддельные страницы приложений в Google Play, например, «PENNY Angebote & Coupons».
Жертвы, нажимавшие поддельную кнопку «Установить», неосознанно загружали APK-файл дроппера. После запуска приложение запрашивало разрешение на установку дополнительного программного обеспечения, имитируя плановое обновление. Это действие приводило к развертыванию основной полезной нагрузки Albiriox.
Связанная с этим кампания перенаправляла потенциальных жертв на мошеннический сайт в стиле PENNY, где им предлагалось указать свой номер телефона для получения ссылки на скачивание WhatsApp. Принимались только австрийские номера, и все заявки отправлялись в Telegram-бот, контролируемый операторами.
Дистанционное управление и тайные операции
После активации Albiriox устанавливает соединение со своим сервером управления и контроля через незашифрованный TCP-сокет. Это позволяет злоумышленникам передавать команды, используемые для полного удалённого взаимодействия. Ключевые возможности включают:
- Управление устройствами на основе VNC, поддерживаемое дополнительным модулем удаленного доступа
- Извлечение конфиденциальных данных по запросу
- Развертывание черного или пустого экрана для сокрытия вредоносной активности
- Дистанционная регулировка громкости для сохранения скрытности работы
Один из вариантов использует специальные возможности Android для отображения всех элементов интерфейса операторам. Этот метод специально разработан для обхода ограничений функции Android FLAG_SECURE, которая предотвращает создание скриншотов и записей экрана во многих финансовых приложениях.
Обход защиты интерфейса для мошенничества
Механизм потоковой передачи данных, основанный на доступности, предоставляет злоумышленникам представление интерфейса устройства на уровне узлов. Поскольку он избегает традиционных методов захвата изображения, встроенные средства защиты, используемые банковскими и криптовалютными приложениями, не срабатывают. В результате злоумышленники получают постоянный и неограниченный доступ к конфиденциальным экранам.
Атаки с наложением и сбор учетных данных
Как и другие банковские трояны для Android, Albiriox использует атаки с использованием оверлеев, привязанных к жёстко заданному списку целевых приложений. Эти оверлеи выглядят как легитимные панели входа в систему или системные диалоговые окна, что позволяет эффективно кражу учётных данных. Кроме того, вредоносная программа использует обманные экраны, такие как поддельные запросы на обновление или полностью чёрный экран, чтобы скрыть свою активность, пока мошеннические операции выполняются в фоновом режиме.
Полностью оборудованная платформа ODF
Albiriox демонстрирует все характерные черты передового вредоносного ПО для мошенничества на устройствах. Сочетание удалённого управления на основе VNC, автоматизированных рабочих процессов, ориентированных на доступность, целевых оверлеев и методов динамического сбора данных позволяет злоумышленникам обходить средства аутентификации и традиционные механизмы обнаружения мошенничества. Работая непосредственно в рамках легитимного сеанса жертвы, вредоносное ПО предоставляет своим операторам исключительно высокий уровень контроля и не менее значительные возможности для злоупотреблений.
