Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér Malvér Albiriox MaaS

Malvér Albiriox MaaS

Do roku Mezo v roku Mobilný malvér, Bankový trójsky kôň
Preložiť do:

Novoobjavená hrozba pre Android, známa ako Albiriox, predstavuje najnovší vývoj v oblasti podvodných operácií na zariadeniach. Inzerovaná v rámci modelu malvéru ako služby, poskytuje rozsiahlu sadu nástrojov na diaľkové ovládanie, automatizované zneužívanie a nenápadnú manipuláciu so zariadeniami obetí.

Komerčná hrozba vytvorená pre podvod

Albiriox sa predáva ako plnohodnotná ponuka MaaS určená na podporu ochrany pred podvodmi na zariadení (ODF), interakcie so zariadeniami v reálnom čase a bezproblémovej manipulácie s obrazovkou. Prvé aktivity naznačujú, že prevádzkovatelia spočiatku koncom septembra 2025 vykonali obmedzenú fázu náboru a potom prešli na širšie komerčné spustenie. Ukazovatele spojené s diskusiami na fórach, používaním jazyka a podpornou infraštruktúrou poukazujú na to, že projekt vedú rusky hovoriaci kybernetickí zločinci.

Vývojári tiež poskytujú vlastný nástroj na tvorbu kryptov, ktorý sa údajne integruje so službou šifrovania Golden Crypt, čo zákazníkom umožňuje obísť antivírusové nástroje a mobilnú bezpečnostnú ochranu.

Zameranie sa na širokú škálu aplikácií

Malvér obsahuje rozsiahly pevne zakódovaný zoznam viac ako 400 cielených aplikácií. Tieto aplikácie pokrývajú širokú škálu citlivých kategórií vrátane bankovníctva, finančných technológií, kryptomenových búrz, platobných procesorov, digitálnych peňaženiek a online obchodných platforiem. Tento široký prístup k zacieleniu je v súlade s jeho cieľom zachytávať prihlasovacie údaje, iniciovať podvodné transakcie a udržiavať skrytý prístup k finančným aplikáciám.

Skryté nasadenie prostredníctvom sociálneho inžinierstva

Distribúcia sa vo veľkej miere spolieha na klamlivé návnady, ktoré majú oklamať používateľov a prinútiť ich nainštalovať maskované droppery. Útočníci kombinujú témy sociálneho inžinierstva s technikami balenia a zahmlievania, aby sa vyhli nástrojom statickej analýzy. Jedna kampaň zameraná na rakúskych používateľov používala nemecké SMS správy a skrátené URL adresy vedúce k falošným stránkam v Obchode Google Play pre aplikácie ako „PENNY Angebote & Coupons“.

Obete, ktoré klikli na falošné tlačidlo „Inštalovať“, si nevedomky stiahli súbor APK. Po spustení aplikácia požiadala o povolenie na inštaláciu ďalšieho softvéru a predstierala spustenie bežnej aktualizácie. Táto akcia spustila nasadenie hlavného užitočného zaťaženia Albiriox.

Súvisiaca kampaň presmerovala potenciálne obete na podvodnú webovú stránku s tematikou PENNY, kde boli vyzvané, aby poskytli svoje telefónne číslo, aby dostali odkaz na stiahnutie aplikácie WhatsApp. Akceptované boli iba rakúske čísla a všetky zaslané údaje boli odoslané telegramovému botu ovládanému prevádzkovateľmi.

Diaľkové ovládanie a skrytá prevádzka

Po aktivácii nadviaže Albiriox komunikáciu so svojím serverom Command-and-Control prostredníctvom nešifrovaného TCP socketu. To umožňuje útočníkom odosielať príkazy používané na plnú vzdialenú interakciu. Medzi kľúčové funkcie patria:

  • Ovládanie zariadení na báze VNC s podporou dodatočného modulu vzdialeného prístupu
  • Extrakcia citlivých údajov na požiadanie
  • Nasadenie čiernej alebo prázdnej obrazovky na zakrytie škodlivej aktivity
  • Diaľkové nastavenie hlasitosti pre zachovanie nenápadnosti prevádzky

Jeden variant využíva služby prístupnosti systému Android na zobrazenie všetkých prvkov rozhrania operátorom. Táto technika je výslovne navrhnutá tak, aby obchádzala obmedzenia funkcie FLAG_SECURE systému Android, ktorá zabraňuje vytváraniu snímok obrazovky a nahrávaniu obrazovky v mnohých finančných aplikáciách.

Obchádzanie ochrany rozhrania pred podvodmi

Mechanizmus streamovania založený na prístupnosti poskytuje útočníkom reprezentáciu rozhrania zariadenia na úrovni uzlov. Keďže sa vyhýba tradičným technikám zachytávania displeja, neaktivuje vstavané ochrany používané bankovými a kryptomenovými aplikáciami. V dôsledku toho útočníci získajú trvalú a neobmedzenú viditeľnosť citlivých obrazoviek.

Prekrývajúce útoky a získavanie poverení

Podobne ako iné bankové trójske kone pre Android, aj Albiriox využíva prekrývajúce sa útoky viazané na jeho pevne zakódovaný zoznam cieľových aplikácií. Tieto prekrytia sa zobrazujú ako legitímne prihlasovacie panely alebo systémové dialógy, čo umožňuje efektívnu krádež prihlasovacích údajov. Okrem toho malvér zobrazuje zavádzajúce obrazovky, ako sú falošné výzvy na aktualizáciu alebo úplne čierne displeje, aby skryl svoje aktivity, zatiaľ čo na pozadí prebiehajú podvodné operácie.

Plne vybavená platforma ODF

Albiriox vykazuje všetky charakteristické vlastnosti pokročilého malvéru na detekciu podvodov priamo v zariadení. Jeho kombinácia vzdialenej manipulácie založenej na VNC, automatizovaných pracovných postupov riadených prístupnosťou, cielených prekrytí a techník dynamického zberu údajov umožňuje útočníkom obísť overovacie kontroly a prejsť okolo konvenčných mechanizmov detekcie podvodov. Tým, že malvér pôsobí priamo v legitímnej relácii obete, poskytuje svojim operátorom mimoriadne vysokú úroveň kontroly a rovnako významnú príležitosť na zneužitie.

Trendy

Prichádzajúca správa pozastavená – podvod

Phishing, Spam
Kyberzločinci neustále zdokonaľujú podvody založené na e-mailoch a podvod „Prichádzajúca správa pozastavená“ je ďalším príkladom toho, ako presvedčivo dokáže spam nalákať nič netušiacich príjemcov. Tieto podvodné upozornenia falošne tvrdia, že správy sú zadržiavané vo vašej schránke a snažia sa vás presmerovať na phishingovú stránku. Je dôležité si uvedomiť, že tieto e-maily nie sú prepojené s...

Najviac videné

Načítava...