Albiriox MaaS Malware
Ang isang bagong lumabas na banta sa Android, na kilala bilang Albiriox, ay kumakatawan sa pinakabagong ebolusyon sa mga operasyon ng panloloko sa device. Na-advertise sa ilalim ng modelong malware-bilang-isang-serbisyo, naghahatid ito ng malawak na toolkit para sa remote control, awtomatikong pang-aabuso, at palihim na pagmamanipula ng mga device ng mga biktima.
Talaan ng mga Nilalaman
Isang Komersyal na Banta na Ginawa para sa Panloloko
Ang Albiriox ay ibinebenta bilang isang buong tampok na alok ng MaaS na idinisenyo upang suportahan ang on-device fraud (ODF), real-time na pakikipag-ugnayan sa device, at tuluy-tuloy na pagmamanipula ng screen. Iminumungkahi ng maagang aktibidad na ang mga operator ay unang nagsagawa ng limitadong yugto ng recruitment noong huling bahagi ng Setyembre 2025 bago lumipat sa mas malawak na komersyal na paglulunsad. Ang mga tagapagpahiwatig na nauugnay sa mga talakayan sa forum, paggamit ng wika, at pagsuporta sa imprastraktura ay tumutukoy sa mga cybercriminal na nagsasalita ng Russian na nangunguna sa proyekto.
Nagbibigay din ang mga developer ng custom na tagabuo na naiulat na sumasama sa serbisyo ng Golden Crypt crypting, na nagbibigay-daan sa mga customer na iwasan ang mga tool sa antivirus at mga panlaban sa seguridad sa mobile.
Pag-target sa isang Malawak na Landscape ng Aplikasyon
Ang malware ay nag-e-embed ng malawak na hard-coded na listahan ng higit sa 400 naka-target na mga application. Ang mga ito ay sumasaklaw sa malawak na hanay ng mga sensitibong kategorya, kabilang ang pagbabangko, fintech, mga palitan ng cryptocurrency, mga nagproseso ng pagbabayad, mga digital na wallet, at mga online na platform ng kalakalan. Ang malawak na diskarte sa pag-target na ito ay umaayon sa layunin nito na kumuha ng mga kredensyal, pasimulan ang mga mapanlinlang na transaksyon, at pagpapanatili ng lihim na access sa mga financial app.
Covert Deployment Sa Pamamagitan ng Social Engineering
Lubos na umaasa ang pamamahagi sa mga mapanlinlang na pang-akit na idinisenyo upang linlangin ang mga user sa pag-install ng mga disguised dropper. Ipinapares ng mga attacker ang mga tema ng social engineering sa mga diskarte sa pag-iimpake at obfuscation upang maiwasan ang mga static na tool sa pagsusuri. Isang campaign na nakatuon sa mga user ng Austrian na gumamit ng mga SMS na mensahe sa wikang German at pinaikling URL na humahantong sa mga pekeng page ng Google Play Store para sa mga app gaya ng 'PENNY Angebote & Coupons.'
Ang mga biktima na pumili ng pekeng 'Install' na button ay hindi sinasadyang nag-download ng dropper APK. Pagkatapos ng paglunsad, humiling ang app ng pahintulot na mag-install ng karagdagang software, na nagkukunwaring magpapasimula ng isang regular na pag-update. Ang pagkilos na ito ay nag-trigger sa pag-deploy ng pangunahing kargamento ng Albiriox.
Ang isang nauugnay na kampanya ay nag-rerouting sa mga potensyal na biktima sa isang mapanlinlang na website na may temang PENNY, kung saan sila ay sinenyasan na ibigay ang kanilang numero ng telepono upang makatanggap ng link sa pag-download ng WhatsApp. Tanging mga Austrian na numero ang tinanggap, at lahat ng mga pagsusumite ay ipinadala sa isang Telegram bot na kinokontrol ng mga operator.
Remote Control at Covert Operation
Kapag aktibo na, nagtatatag ang Albiriox ng komunikasyon sa Command-at-Control server nito sa pamamagitan ng hindi naka-encrypt na TCP socket. Nagbibigay-daan ito sa mga aktor ng pagbabanta na itulak ang mga utos na ginagamit para sa buong malayuang pakikipag-ugnayan. Kabilang sa mga pangunahing kakayahan ang:
- Kontrol sa device na nakabatay sa VNC, na sinusuportahan ng karagdagang remote-access na module
- On-demand na pagkuha ng sensitibong data
- Itim o blangko ang pag-deploy ng screen upang itago ang nakakahamak na aktibidad
- Mga remote na pagsasaayos ng volume para mapanatili ang operational stealth
Gumagamit ang isang variant ng mga serbisyo sa pagiging naa-access ng Android upang ipakita ang lahat ng elemento ng interface sa mga operator. Ang diskarteng ito ay hayagang idinisenyo upang iwasan ang mga paghihigpit ng tampok na FLAG_SECURE ng Android, na pumipigil sa mga screenshot at pag-record ng screen sa loob ng maraming mga pinansiyal na aplikasyon.
Pag-bypass sa Mga Proteksyon sa Interface para sa Panloloko
Ang mekanismo ng streaming na hinihimok ng accessibility ay nagbibigay sa mga umaatake ng representasyon sa antas ng node ng interface ng device. Dahil iniiwasan nito ang mga tradisyonal na diskarte sa pag-capture ng display, hindi ito nagti-trigger ng mga built-in na proteksyon na ginagamit ng mga banking at cryptocurrency app. Bilang resulta, ang mga umaatake ay nakakakuha ng patuloy, hindi pinaghihigpitang visibility ng mga sensitibong screen.
Mga Overlay na Pag-atake at Pag-aani ng Kredensyal
Alinsunod sa iba pang mga Android banking trojan, gumagamit ang Albiriox ng mga overlay na pag-atake na nauugnay sa hard-coded nitong listahan ng mga target na application. Lumilitaw ang mga overlay na ito bilang mga lehitimong panel sa pag-log in o mga dialog ng system, na nagbibigay-daan sa epektibong pagnanakaw ng kredensyal. Bukod pa rito, ang malware ay naghahatid ng mga mapanlinlang na screen, tulad ng mga pekeng update na prompt o ganap na itim na pagpapakita, upang itago ang mga aktibidad nito habang ang mga mapanlinlang na operasyon ay nagpapatuloy sa background.
Isang Platform ng ODF na Ganap sa Gamit
Ipinapakita ng Albiriox ang lahat ng katangian ng advanced on-device fraud malware. Ang kumbinasyon nito ng malayuang pagmamanipula na nakabatay sa VNC, mga daloy ng automation na hinihimok ng accessibility, mga naka-target na overlay, at mga diskarte sa dynamic na pag-aani ay nagbibigay-daan sa mga umaatake na iwasan ang mga kontrol sa pagpapatunay at makalampas sa mga kumbensyonal na mekanismo ng pagtuklas ng panloloko. Sa pamamagitan ng direktang pagpapatakbo sa loob ng lehitimong sesyon ng biktima, binibigyan ng malware ang mga operator nito ng napakataas na antas ng kontrol at ng parehong makabuluhang pagkakataon para sa pang-aabuso.
