มัลแวร์ Albiriox MaaS
ภัยคุกคามบน Android ที่เพิ่งปรากฏขึ้นใหม่ ซึ่งรู้จักกันในชื่อ Albiriox ถือเป็นวิวัฒนาการล่าสุดในการปฏิบัติการฉ้อโกงบนอุปกรณ์ Albiriox โฆษณาภายใต้รูปแบบมัลแวร์แบบบริการ (malware-as-a-service) มอบชุดเครื่องมือที่ครอบคลุมสำหรับการควบคุมระยะไกล การละเมิดโดยอัตโนมัติ และการจัดการอุปกรณ์ของเหยื่ออย่างลับๆ
สารบัญ
ภัยคุกคามเชิงพาณิชย์ที่สร้างขึ้นเพื่อการฉ้อโกง
Albiriox วางตลาดในฐานะบริการ MaaS เต็มรูปแบบที่ออกแบบมาเพื่อรองรับการฉ้อโกงบนอุปกรณ์ (ODF) การโต้ตอบแบบเรียลไทม์ระหว่างอุปกรณ์ และการจัดการหน้าจอที่ราบรื่น กิจกรรมในช่วงแรกชี้ให้เห็นว่าผู้ให้บริการได้ดำเนินการรับสมัครแบบจำกัดในช่วงปลายเดือนกันยายน 2568 ก่อนที่จะเปลี่ยนไปสู่การเปิดตัวเชิงพาณิชย์ในวงกว้างขึ้น ตัวชี้วัดที่เกี่ยวข้องกับการสนทนาในฟอรัม การใช้ภาษา และโครงสร้างพื้นฐานสนับสนุนชี้ไปที่อาชญากรไซเบอร์ที่พูดภาษารัสเซียซึ่งเป็นหัวหอกของโครงการนี้
นอกจากนี้ นักพัฒนายังจัดทำโปรแกรมสร้างแบบกำหนดเองซึ่งมีรายงานว่าสามารถบูรณาการกับบริการเข้ารหัส Golden Crypt ช่วยให้ลูกค้าหลีกเลี่ยงเครื่องมือป้องกันไวรัสและการป้องกันความปลอดภัยบนมือถือได้
การกำหนดเป้าหมายภูมิทัศน์แอปพลิเคชันที่กว้างขวาง
มัลแวร์นี้ฝังรายการแอปพลิเคชันเป้าหมายที่ถูกเข้ารหัสแบบฮาร์ดโค้ดไว้อย่างครอบคลุมกว่า 400 รายการ ครอบคลุมหมวดหมู่ที่ละเอียดอ่อนหลากหลาย เช่น ธนาคาร ฟินเทค การแลกเปลี่ยนสกุลเงินดิจิทัล ผู้ประมวลผลการชำระเงิน กระเป๋าเงินดิจิทัล และแพลตฟอร์มการซื้อขายออนไลน์ วิธีการกำหนดเป้าหมายแบบกว้างนี้สอดคล้องกับเป้าหมายในการรวบรวมข้อมูลประจำตัว เริ่มต้นธุรกรรมฉ้อโกง และรักษาการเข้าถึงแอปทางการเงินอย่างลับๆ
การปรับใช้แบบลับๆ ผ่านวิศวกรรมสังคม
การกระจายสินค้าอาศัยเหยื่อล่อลวงที่ออกแบบมาเพื่อหลอกผู้ใช้ให้ติดตั้งดรอปเปอร์ปลอมแปลง ผู้โจมตีใช้ธีมวิศวกรรมสังคมร่วมกับเทคนิคการแพ็คและการทำให้สับสนเพื่อหลีกเลี่ยงเครื่องมือวิเคราะห์แบบคงที่ แคมเปญหนึ่งที่มุ่งเน้นไปที่ผู้ใช้ชาวออสเตรียใช้ข้อความ SMS ภาษาเยอรมันและ URL แบบย่อ ซึ่งนำไปสู่หน้า Google Play Store ปลอมสำหรับแอปอย่างเช่น 'PENNY Angebote & Coupons'
เหยื่อที่เลือกปุ่ม "ติดตั้ง" ปลอม ได้ดาวน์โหลด APK ของโปรแกรมดรอปเปอร์โดยไม่รู้ตัว หลังจากเปิดใช้งาน แอปได้ขออนุญาตติดตั้งซอฟต์แวร์เพิ่มเติม โดยแสร้งทำเป็นว่ากำลังเริ่มการอัปเดตตามปกติ การกระทำนี้กระตุ้นให้เกิดการใช้งานเพย์โหลดหลักของ Albiriox
แคมเปญที่เกี่ยวข้องได้เปลี่ยนเส้นทางเหยื่อไปยังเว็บไซต์หลอกลวงที่มีธีม PENNY ซึ่งพวกเขาถูกขอให้ระบุหมายเลขโทรศัพท์เพื่อรับลิงก์ดาวน์โหลด WhatsApp ระบบจะรับเฉพาะหมายเลขโทรศัพท์ของออสเตรียเท่านั้น และข้อมูลที่ส่งทั้งหมดจะถูกส่งไปยังบ็อต Telegram ที่ควบคุมโดยผู้ให้บริการ
การควบคุมระยะไกลและการทำงานแบบซ่อนเร้น
เมื่อเปิดใช้งานแล้ว Albiriox จะสร้างการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control ผ่านซ็อกเก็ต TCP ที่ไม่ได้เข้ารหัส ซึ่งช่วยให้ผู้ก่อภัยคุกคามสามารถส่งคำสั่งที่ใช้สำหรับการโต้ตอบระยะไกลแบบเต็มรูปแบบได้ ความสามารถหลักๆ ประกอบด้วย:
- การควบคุมอุปกรณ์ที่ใช้ VNC รองรับโดยโมดูลการเข้าถึงระยะไกลเพิ่มเติม
- การดึงข้อมูลที่ละเอียดอ่อนตามความต้องการ
- การใช้หน้าจอสีดำหรือว่างเปล่าเพื่อปกปิดกิจกรรมที่เป็นอันตราย
- การปรับระดับเสียงระยะไกลเพื่อรักษาความสามารถในการปฏิบัติการที่ซ่อนเร้น
เวอร์ชันหนึ่งใช้บริการการเข้าถึงของ Android เพื่อนำเสนอองค์ประกอบอินเทอร์เฟซทั้งหมดให้กับผู้ปฏิบัติงาน เทคนิคนี้ได้รับการออกแบบมาโดยเฉพาะเพื่อหลีกเลี่ยงข้อจำกัดของฟีเจอร์ FLAG_SECURE ของ Android ซึ่งป้องกันการจับภาพหน้าจอและการบันทึกหน้าจอในแอปพลิเคชันทางการเงินจำนวนมาก
การหลีกเลี่ยงการป้องกันอินเทอร์เฟซสำหรับการฉ้อโกง
กลไกการสตรีมที่ขับเคลื่อนด้วยการเข้าถึงได้นี้ทำให้ผู้โจมตีสามารถมองเห็นอินเทอร์เฟซอุปกรณ์ในระดับโหนดได้ เนื่องจากกลไกนี้หลีกเลี่ยงเทคนิคการจับภาพหน้าจอแบบเดิม จึงไม่ก่อให้เกิดการป้องกันในตัวที่แอปพลิเคชันธนาคารและสกุลเงินดิจิทัลใช้ ส่งผลให้ผู้โจมตีสามารถมองเห็นหน้าจอที่ละเอียดอ่อนได้อย่างต่อเนื่องและไม่จำกัด
การโจมตีแบบซ้อนทับและการเก็บเกี่ยวข้อมูลประจำตัว
เช่นเดียวกับโทรจันธนาคาร Android ตัวอื่นๆ Albiriox ใช้การโจมตีแบบโอเวอร์เลย์ที่เชื่อมโยงกับรายการแอปพลิเคชันเป้าหมายที่ฮาร์ดโค้ดไว้ โอเวอร์เลย์เหล่านี้จะปรากฏเป็นแผงล็อกอินหรือกล่องโต้ตอบระบบที่ถูกต้องตามกฎหมาย ทำให้สามารถขโมยข้อมูลประจำตัวได้อย่างมีประสิทธิภาพ นอกจากนี้ มัลแวร์ยังแสดงหน้าจอที่ทำให้เข้าใจผิด เช่น ข้อความแจ้งเตือนการอัปเดตปลอม หรือหน้าจอสีดำสนิท เพื่อซ่อนกิจกรรมต่างๆ ขณะที่การดำเนินการฉ้อโกงดำเนินการอยู่เบื้องหลัง
แพลตฟอร์ม ODF ที่มีอุปกรณ์ครบครัน
Albiriox แสดงให้เห็นถึงคุณลักษณะเด่นทั้งหมดของมัลแวร์ฉ้อโกงบนอุปกรณ์ขั้นสูง การผสมผสานระหว่างการจัดการระยะไกลบน VNC เวิร์กโฟลว์อัตโนมัติที่ขับเคลื่อนด้วยการเข้าถึง การวางซ้อนแบบกำหนดเป้าหมาย และเทคนิคการเก็บเกี่ยวแบบไดนามิก ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงการควบคุมการตรวจสอบสิทธิ์และหลบเลี่ยงกลไกการตรวจจับการฉ้อโกงแบบเดิมได้ ด้วยการทำงานโดยตรงภายในเซสชันที่ถูกต้องของเหยื่อ มัลแวร์นี้จึงมอบการควบคุมระดับสูงเป็นพิเศษให้กับผู้ปฏิบัติการและโอกาสในการถูกนำไปใช้ในทางที่ผิดอย่างมีนัยสำคัญ
