Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara Albiriox MaaS-skadlig programvara

Albiriox MaaS-skadlig programvara

Med Mezo år Mobil skadlig programvara, Banktrojan
Översätt till:

Ett nyligen uppdagat Android-hot, känt som Albiriox, representerar den senaste utvecklingen inom bedrägerier på enheter. Det marknadsförs under en modell av skadlig programvara som en tjänst och levererar en omfattande verktygslåda för fjärrstyrning, automatiserat missbruk och smygande manipulation av offrens enheter.

Ett kommersialiserat hot byggt för bedrägeri

Albiriox marknadsförs som ett fullfjädrat MaaS-erbjudande utformat för att stödja bedrägerier på enheter (ODF), interaktion i realtid med enheter och sömlös skärmmanipulation. Tidig aktivitet tyder på att operatörerna initialt genomförde en begränsad rekryteringsfas i slutet av september 2025 innan de övergick till en bredare kommersiell utrullning. Indikatorer kopplade till forumdiskussioner, språkanvändning och stödjande infrastruktur pekar mot rysktalande cyberbrottslingar som leder projektet.

Utvecklarna tillhandahåller också en anpassad byggare som enligt uppgift integreras med krypteringstjänsten Golden Crypt, vilket gör det möjligt för kunder att undvika antivirusverktyg och mobila säkerhetsförsvar.

Riktar sig mot ett brett applikationslandskap

Den skadliga programvaran bäddar in en omfattande hårdkodad lista med mer än 400 riktade applikationer. Dessa spänner över ett brett spektrum av känsliga kategorier, inklusive bank, fintech, kryptovalutabörser, betalningsleverantörer, digitala plånböcker och online-handelsplattformar. Denna breda målgrupp överensstämmer med dess mål att samla in inloggningsuppgifter, initiera bedrägliga transaktioner och upprätthålla hemlig åtkomst till finansiella appar.

Hemlig utplacering genom social ingenjörskonst

Distributionen är i hög grad beroende av vilseledande lockbete utformade för att lura användare att installera förklädda droppers. Angripare kombinerar social ingenjörskonst med packnings- och obfuskeringstekniker för att kringgå statiska analysverktyg. En kampanj fokuserad på österrikiska användare använde tyskspråkiga SMS och förkortade webbadresser som ledde till förfalskade Google Play Store-sidor för appar som "PENNY Angebote & Coupons".

Offer som tryckte på den falska knappen "Installera" laddade omedvetet ner en dropper-APK. Efter lanseringen begärde appen tillåtelse att installera ytterligare programvara och låtsades starta en rutinuppdatering. Denna åtgärd utlöste driftsättningen av Albiriox huvudnyttolasten.

En relaterad kampanj omdirigerade potentiella offer till en bedräglig webbplats med PENNY-tema, där de ombads att ange sitt telefonnummer för att få en nedladdningslänk till WhatsApp. Endast österrikiska nummer accepterades, och alla inskick skickades till en Telegram-bot som kontrollerades av operatörerna.

Fjärrkontroll och hemlig drift

När Albiriox är aktiv upprättar den kommunikation med sin Command-and-Control-server via en okrypterad TCP-socket. Detta gör det möjligt för hotande aktörer att skicka kommandon som används för fullständig fjärrinteraktion. Viktiga funktioner inkluderar:

  • VNC-baserad enhetskontroll, stödd av en ytterligare fjärråtkomstmodul
  • Utvinning av känsliga uppgifter på begäran
  • Svart eller tom skärm för att dölja skadlig aktivitet
  • Fjärrjustering av volymen för att bibehålla stealth-funktionalitet

En variant använder Androids tillgänglighetstjänster för att presentera alla gränssnittselement för operatörerna. Denna teknik är uttryckligen utformad för att kringgå begränsningarna i Androids FLAG_SECURE-funktion, som förhindrar skärmdumpar och skärminspelningar i många finansiella applikationer.

Kringgå gränssnittsskydd mot bedrägerier

Den tillgänglighetsdrivna strömningsmekanismen ger angripare en representation av enhetens gränssnitt på nodnivå. Eftersom den undviker traditionella skärminspelningstekniker utlöser den inte inbyggda skydd som används av bank- och kryptovalutaappar. Som ett resultat får angriparna bestående, obegränsad insyn i känsliga skärmar.

Overlay-attacker och insamling av autentiseringsuppgifter

I linje med andra Android-banktrojaner använder Albiriox overlay-attacker kopplade till sin hårdkodade lista över riktade applikationer. Dessa overlays visas som legitima inloggningspaneler eller systemdialogrutor, vilket möjliggör effektiv stöld av autentiseringsuppgifter. Dessutom använder den skadliga programvaran vilseledande skärmar, såsom falska uppdateringsmeddelanden eller helt svarta skärmar, för att dölja sina aktiviteter medan bedrägliga operationer pågår i bakgrunden.

En fullt utrustad ODF-plattform

Albiriox uppvisar alla kännetecken för avancerad bedrägeriprogramvara på enheter. Dess blandning av VNC-baserad fjärrmanipulation, tillgänglighetsdrivna automatiseringsarbetsflöden, riktade överlagringar och dynamiska insamlingstekniker gör det möjligt för angripare att kringgå autentiseringskontroller och glida förbi konventionella mekanismer för bedrägeriupptäckt. Genom att operera direkt inuti ett offers legitima session ger det skadliga programmet sina operatörer en exceptionellt hög kontrollnivå och en lika betydande möjlighet till missbruk.

Trendigt

Mest sedda

Läser in...