Albiriox MaaS Kötü Amaçlı Yazılım
Albiriox olarak bilinen yeni ortaya çıkan bir Android tehdidi, cihaz içi dolandırıcılık operasyonlarındaki en son gelişmeyi temsil ediyor. Kötü amaçlı yazılım hizmeti modeliyle tanıtılan bu tehdit, kurbanların cihazlarının uzaktan kontrolü, otomatik kötüye kullanımı ve gizlice manipüle edilmesi için kapsamlı bir araç seti sunuyor.
İçindekiler
Dolandırıcılık İçin Oluşturulmuş Ticari Bir Tehdit
Albiriox, cihaz içi dolandırıcılık (ODF), gerçek zamanlı cihaz etkileşimi ve sorunsuz ekran manipülasyonunu desteklemek üzere tasarlanmış, tam özellikli bir MaaS çözümü olarak pazarlanmaktadır. İlk çalışmalar, operatörlerin daha geniş kapsamlı bir ticari kullanıma geçmeden önce Eylül 2025 sonlarında sınırlı bir işe alım aşaması gerçekleştirdiğini göstermektedir. Forum tartışmaları, dil kullanımı ve destekleyici altyapıyla ilgili göstergeler, projeye Rusça konuşan siber suçluların öncülük ettiğini göstermektedir.
Geliştiriciler ayrıca, müşterilerin antivirüs araçlarından ve mobil güvenlik savunmalarından kaçınmasını sağlayan, Golden Crypt şifreleme hizmetiyle entegre olduğu bildirilen özel bir oluşturucu da sağlıyor.
Geniş Bir Uygulama Manzarasını Hedefleme
Kötü amaçlı yazılım, 400'den fazla hedeflenen uygulamadan oluşan kapsamlı bir sabit kodlu listeye sahiptir. Bu uygulamalar, bankacılık, fintech, kripto para borsaları, ödeme işlemcileri, dijital cüzdanlar ve çevrimiçi ticaret platformları dahil olmak üzere çok çeşitli hassas kategorileri kapsamaktadır. Bu geniş hedefleme yaklaşımı, kimlik bilgilerini ele geçirme, sahtekarlık amaçlı işlemler başlatma ve finansal uygulamalara gizli erişim sağlama hedefiyle uyumludur.
Sosyal Mühendislik Yoluyla Gizli Dağıtım
Dağıtım, kullanıcıları gizli dropper'lar yüklemeye kandırmak için tasarlanmış aldatıcı yemlere büyük ölçüde dayanıyor. Saldırganlar, statik analiz araçlarını atlatmak için sosyal mühendislik temalarını paketleme ve gizleme teknikleriyle birleştiriyor. Avusturyalı kullanıcılara odaklanan bir kampanya, Almanca SMS mesajları ve kısaltılmış URL'ler kullanarak "PENNY Angebote & Coupons" gibi uygulamalar için sahte Google Play Store sayfalarına yol açtı.
Sahte "Yükle" düğmesini seçen mağdurlar, farkında olmadan bir dropper APK dosyası indirdiler. Uygulama başlatıldıktan sonra, rutin bir güncelleme başlatıyormuş gibi davranarak ek yazılım yüklemek için izin istedi. Bu eylem, ana Albiriox yükünün dağıtımını tetikledi.
İlgili bir kampanya, potansiyel kurbanları sahte PENNY temalı bir web sitesine yönlendirdi ve WhatsApp indirme bağlantısı almak için telefon numaralarını vermeleri istendi. Yalnızca Avusturya numaraları kabul edildi ve tüm başvurular operatörler tarafından kontrol edilen bir Telegram botuna gönderildi.
Uzaktan Kumanda ve Gizli Operasyon
Albiriox, etkinleştirildikten sonra şifrelenmemiş bir TCP soketi aracılığıyla Komuta ve Kontrol sunucusuyla iletişim kurar. Bu, tehdit aktörlerinin tam uzaktan etkileşim için kullanılan komutları iletmesini sağlar. Temel özellikleri şunlardır:
- Ek bir uzaktan erişim modülü tarafından desteklenen VNC tabanlı cihaz kontrolü
- Hassas verilerin talep üzerine çıkarılması
- Kötü amaçlı faaliyetleri gizlemek için siyah veya boş ekran dağıtımı
- Operasyonel gizliliği korumak için uzaktan ses ayarlamaları
Bir varyant, tüm arayüz öğelerini operatörlere sunmak için Android'in erişilebilirlik hizmetlerini kullanır. Bu teknik, birçok finansal uygulamada ekran görüntüsü ve ekran kaydı almayı engelleyen Android'in FLAG_SECURE özelliğinin kısıtlamalarını aşmak için özel olarak tasarlanmıştır.
Dolandırıcılık İçin Arayüz Korumalarını Atlatma
Erişilebilirlik odaklı akış mekanizması, saldırganlara cihaz arayüzünün düğüm düzeyinde bir gösterimini sunar. Geleneksel ekran yakalama tekniklerini kullanmadığı için, bankacılık ve kripto para uygulamalarının kullandığı yerleşik korumaları tetiklemez. Sonuç olarak, saldırganlar hassas ekranların kalıcı ve sınırsız görünürlüğünü elde eder.
Üst Katman Saldırıları ve Kimlik Bilgisi Toplama
Diğer Android bankacılık truva atları gibi, Albiriox da hedeflenen uygulamaların sabit kodlanmış listesine bağlı katman saldırıları kullanır. Bu katmanlar, meşru oturum açma panelleri veya sistem iletişim kutuları gibi görünerek etkili kimlik bilgisi hırsızlığına olanak tanır. Ayrıca, kötü amaçlı yazılım, arka planda dolandırıcılık işlemleri devam ederken faaliyetlerini gizlemek için sahte güncelleme istemleri veya tamamen siyah ekranlar gibi yanıltıcı ekranlar sunar.
Tam Donanımlı Bir ODF Platformu
Albiriox, gelişmiş cihaz içi dolandırıcılık amaçlı kötü amaçlı yazılımların tüm ayırt edici özelliklerini sergiler. VNC tabanlı uzaktan manipülasyon, erişilebilirlik odaklı otomasyon iş akışları, hedefli katmanlar ve dinamik veri toplama tekniklerinin birleşimi, saldırganların kimlik doğrulama kontrollerini atlatmalarına ve geleneksel dolandırıcılık tespit mekanizmalarını aşmalarına olanak tanır. Doğrudan kurbanın meşru oturumunda çalışarak, kötü amaçlı yazılım operatörlerine olağanüstü düzeyde bir kontrol ve aynı derecede önemli bir kötüye kullanım fırsatı sağlar.
