Шкідливе програмне забезпечення Albiriox MaaS
Нова загроза для Android, відома як Albiriox, є останньою еволюцією в шахрайських операціях на пристроях. Рекламується за моделлю «шкідливе програмне забезпечення як послуга» та надає широкий набір інструментів для дистанційного керування, автоматизованого зловживання та прихованого маніпулювання пристроями жертв.
Зміст
Комерціалізована загроза, створена для шахрайства
Albiriox рекламується як повнофункціональна MaaS-пропозиція, розроблена для підтримки захисту від шахрайства на пристрої (ODF), взаємодії з пристроями в режимі реального часу та безперешкодного маніпулювання екраном. Попередня активність свідчить про те, що оператори спочатку провели обмежений етап набору персоналу наприкінці вересня 2025 року, перш ніж перейти до ширшого комерційного розгортання. Показники, пов'язані з обговореннями на форумах, використанням мови та допоміжною інфраструктурою, вказують на те, що проєкт очолюють російськомовні кіберзлочинці.
Розробники також пропонують спеціальний конструктор кодів, який, як повідомляється, інтегрується з криптосервісом Golden Crypt, що дозволяє клієнтам обходити антивірусні інструменти та засоби захисту мобільних пристроїв.
Орієнтація на широкий ландшафт застосувань
Шкідливе програмне забезпечення містить великий жорстко запрограмований список із понад 400 цільових програм. Вони охоплюють широкий спектр конфіденційних категорій, включаючи банківську справу, фінтех, криптовалютні біржі, платіжні системи, цифрові гаманці та онлайн-торгові платформи. Такий широкий підхід до таргетування відповідає його меті збору облікових даних, ініціювання шахрайських транзакцій та забезпечення прихованого доступу до фінансових програм.
Приховане розгортання за допомогою соціальної інженерії
Розповсюдження значною мірою залежить від оманливих приманок, розроблених для того, щоб обманом змусити користувачів встановити замасковані дроппери. Зловмисники поєднують методи соціальної інженерії з методами пакування та обфускації, щоб обійти інструменти статичного аналізу. В одній кампанії, спрямованій на австрійських користувачів, використовувалися SMS-повідомлення німецькою мовою та скорочені URL-адреси, що вели до підроблених сторінок Google Play Store для таких програм, як «PENNY Angebote & Coupons».
Жертви, які натискали фальшиву кнопку «Встановити», несвідомо завантажували APK-файл. Після запуску програма запитувала дозвіл на встановлення додаткового програмного забезпечення, видаючи себе за ініціювання звичайного оновлення. Ця дія запускала розгортання основного корисного навантаження Albiriox.
Пов’язана кампанія перенаправляла потенційних жертв на шахрайський веб-сайт на тему PENNY, де їх просили вказати свій номер телефону, щоб отримати посилання для завантаження WhatsApp. Приймалися лише австрійські номери, а всі заявки надсилалися боту Telegram, контрольованому операторами.
Дистанційне керування та прихована операція
Після активації Albiriox встановлює зв'язок зі своїм сервером командування та управління через незашифрований TCP-сокет. Це дозволяє зловмисникам надсилати команди, що використовуються для повноцінної віддаленої взаємодії. Основні можливості включають:
- Керування пристроями на основі VNC, що підтримується додатковим модулем віддаленого доступу
- Вилучення конфіденційних даних на вимогу
- Розгортання чорного або порожнього екрана для приховування шкідливої активності
- Дистанційне регулювання гучності для забезпечення прихованості роботи
Один варіант використовує служби спеціальних можливостей Android для представлення всіх елементів інтерфейсу операторам. Цей метод спеціально розроблений для обходу обмежень функції FLAG_SECURE Android, яка запобігає створенню скріншотів та запису екрана в багатьох фінансових програмах.
Обхід захисту інтерфейсу від шахрайства
Механізм потокової передачі на основі доступності надає зловмисникам представлення інтерфейсу пристрою на рівні вузла. Оскільки він уникає традиційних методів захоплення дисплея, він не активує вбудовані засоби захисту, що використовуються банківськими та криптовалютними додатками. В результаті зловмисники отримують постійну, необмежену видимість чутливих екранів.
Атаки накладання та збір облікових даних
Як і інші банківські трояни для Android, Albiriox використовує атаки типу «оверлей», пов’язані з його жорстко запрограмованим списком цільових програм. Ці оверлеї виглядають як справжні панелі входу або системні діалогові вікна, що дозволяє ефективно викрадати облікові дані. Крім того, шкідливе програмне забезпечення показує оманливі екрани, такі як фальшиві запити на оновлення або повністю чорні дисплеї, щоб приховати свою діяльність, поки шахрайські операції відбуваються у фоновому режимі.
Повністю обладнана платформа ODF
Albiriox демонструє всі характерні риси передового шкідливого програмного забезпечення для захисту від шахрайства на пристрої. Його поєднання віддаленого маніпулювання на основі VNC, автоматизованих робочих процесів, орієнтованих на доступність, цільових накладень та методів динамічного збору даних дозволяє зловмисникам обходити засоби контролю автентифікації та пропускати традиційні механізми виявлення шахрайства. Працюючи безпосередньо в легітимному сеансі жертви, шкідливе програмне забезпечення надає своїм операторам надзвичайно високий рівень контролю та не менш значні можливості для зловживань.
