Злонамерни софтвер Albiriox MaaS
Новопојављена претња за Андроид, позната као Albiriox, представља најновију еволуцију у операцијама превара на уређајима. Оглашава се по моделу малвера као услуге, пружа опсежан скуп алата за даљинско управљање, аутоматизовану злоупотребу и прикривену манипулацију уређајима жртава.
Преглед садржаја
Комерцијализована претња створена за превару
Албириокс се рекламира као MaaS понуда са свим функцијама, дизајнирана да подржи преваре на уређају (ODF), интеракцију уређаја у реалном времену и беспрекорну манипулацију екраном. Ране активности сугеришу да су оператери првобитно спровели ограничену фазу регрутовања крајем септембра 2025. године пре него што су прешли на шире комерцијално имплементирање. Индикатори везани за дискусије на форумима, употребу језика и пратећу инфраструктуру указују на то да руски говорни сајбер криминалци предводе пројекат.
Програмери такође пружају прилагођени алат за креирање који се наводно интегрише са сервисом за криптовање Golden Crypt, омогућавајући корисницима да избегну антивирусне алате и мобилну безбедносну одбрану.
Циљање на широк спектар примене
Злонамерни софтвер уграђује опсежну чврсто кодирану листу од више од 400 циљаних апликација. Оне обухватају широк спектар осетљивих категорија, укључујући банкарство, финтех, берзе криптовалута, процесоре плаћања, дигиталне новчанике и платформе за онлајн трговање. Овај широки приступ циљању је у складу са његовим циљем прикупљања акредитива, покретања лажних трансакција и одржавања тајног приступа финансијским апликацијама.
Тајно распоређивање путем социјалног инжењеринга
Дистрибуција се у великој мери ослања на обмањујуће мамце осмишљене да преваре кориснике да инсталирају прикривене дропере. Нападачи комбинују теме социјалног инжењеринга са техникама паковања и замагљивања како би заобишли алате за статичку анализу. Једна кампања усмерена на аустријске кориснике користила је СМС поруке на немачком језику и скраћене УРЛ-ове који су водили до фалсификованих страница у Google Play продавници за апликације као што је „PENNY Angebote & Coupons“.
Жртве које су изабрале лажно дугме „Инсталирај“ несвесно су преузеле APK датотеку. Након покретања, апликација је тражила дозволу за инсталирање додатног софтвера, претварајући се да покреће рутинско ажурирање. Ова радња је покренула распоређивање главног Albiriox пакета.
Повезана кампања преусмеравала је потенцијалне жртве на лажну веб страницу са темом PENNY, где је од њих тражено да наведу свој број телефона како би добили линк за преузимање WhatsApp-а. Прихватани су само аустријски бројеви, а сви захтеви су слати Telegram боту којим управљају оператери.
Даљинско управљање и тајно деловање
Када се једном активира, Albiriox успоставља комуникацију са својим командно-контролним сервером путем нешифрованог TCP сокета. Ово омогућава актерима претњи да шаљу команде које се користе за потпуну даљинску интеракцију. Кључне могућности укључују:
- Контрола уређаја заснована на VNC-у, уз подршку додатног модула за даљински приступ
- Издвајање осетљивих података на захтев
- Примена црног или празног екрана ради прикривања злонамерних активности
- Даљинска подешавања јачине звука ради одржавања оперативне тајности
Једна варијанта користи Андроидове сервисе приступачности како би оператерима представила све елементе интерфејса. Ова техника је изричито дизајнирана да заобиђе ограничења Андроидове функције FLAG_SECURE, која спречава снимке екрана и снимање екрана у многим финансијским апликацијама.
Заобилажење заштите интерфејса од преваре
Механизам стримовања заснован на приступачности даје нападачима приказ интерфејса уређаја на нивоу чвора. Пошто избегава традиционалне технике снимања екрана, не покреће уграђене заштите које користе банкарске и криптовалутне апликације. Као резултат тога, нападачи добијају сталну, неограничену видљивост осетљивих екрана.
Напади преклапањем и крађа акредитива
У складу са другим Андроид банкарским тројанцима, Albiriox користи преклапајуће нападе повезане са својом чврсто кодираном листом циљаних апликација. Ови преклапајући прикази се појављују као легитимни панели за пријаву или системски дијалози, омогућавајући ефикасну крађу акредитива. Поред тога, злонамерни софтвер приказује обмањујуће екране, као што су лажни упити за ажурирање или потпуно црни екрани, како би сакрио своје активности док се преварне операције одвијају у позадини.
Потпуно опремљена ODF платформа
Албириокс показује све карактеристике напредног малвера за преваре на уређају. Његова комбинација даљинске манипулације засноване на VNC-у, аутоматизованих радних процеса заснованих на приступачности, циљаних преклапања и техника динамичког прикупљања података омогућава нападачима да заобиђу контроле аутентификације и промакну конвенционалним механизмима за откривање превара. Делујући директно унутар легитимне сесије жртве, малвер својим оператерима даје изузетно висок ниво контроле и подједнако значајну могућност за злоупотребу.
