Phần mềm độc hại Albiriox MaaS

Một mối đe dọa Android mới xuất hiện, được gọi là Albiriox, đại diện cho bước tiến mới nhất trong hoạt động lừa đảo trên thiết bị. Được quảng cáo dưới dạng phần mềm độc hại dưới dạng dịch vụ, Albiriox cung cấp một bộ công cụ toàn diện để điều khiển từ xa, lạm dụng tự động và thao túng lén lút thiết bị của nạn nhân.

Mối đe dọa thương mại hóa được xây dựng để gian lận

Albiriox được tiếp thị là một dịch vụ MaaS đầy đủ tính năng, được thiết kế để hỗ trợ gian lận trên thiết bị (ODF), tương tác thiết bị theo thời gian thực và thao tác màn hình liền mạch. Hoạt động ban đầu cho thấy các nhà điều hành ban đầu đã tiến hành một giai đoạn tuyển dụng hạn chế vào cuối tháng 9 năm 2025 trước khi chuyển sang triển khai thương mại rộng rãi hơn. Các chỉ số liên quan đến thảo luận trên diễn đàn, sử dụng ngôn ngữ và cơ sở hạ tầng hỗ trợ cho thấy tội phạm mạng nói tiếng Nga đang dẫn đầu dự án.

Các nhà phát triển cũng cung cấp một trình xây dựng tùy chỉnh được cho là tích hợp với dịch vụ mã hóa Golden Crypt, cho phép khách hàng tránh được các công cụ chống vi-rút và biện pháp bảo mật di động.

Nhắm mục tiêu vào một bối cảnh ứng dụng rộng rãi

Phần mềm độc hại này nhúng một danh sách mã hóa cứng rộng lớn gồm hơn 400 ứng dụng mục tiêu. Danh sách này trải dài trên nhiều lĩnh vực nhạy cảm, bao gồm ngân hàng, công nghệ tài chính, sàn giao dịch tiền điện tử, bộ xử lý thanh toán, ví kỹ thuật số và nền tảng giao dịch trực tuyến. Phương pháp nhắm mục tiêu rộng này phù hợp với mục tiêu của nó là thu thập thông tin đăng nhập, khởi tạo các giao dịch gian lận và duy trì quyền truy cập bí mật vào các ứng dụng tài chính.

Triển khai bí mật thông qua kỹ thuật xã hội

Việc phát tán phần mềm độc hại chủ yếu dựa vào các chiêu trò lừa đảo được thiết kế để lừa người dùng cài đặt các dropper ngụy trang. Kẻ tấn công kết hợp các chủ đề kỹ thuật xã hội với các kỹ thuật đóng gói và làm rối để tránh các công cụ phân tích tĩnh. Một chiến dịch nhắm vào người dùng Áo đã sử dụng tin nhắn SMS tiếng Đức và các URL rút gọn dẫn đến các trang Google Play giả mạo cho các ứng dụng như 'PENNY Angebote & Coupons'.

Nạn nhân đã vô tình tải xuống một tệp APK giả mạo khi chọn nút "Cài đặt". Sau khi khởi chạy, ứng dụng yêu cầu quyền cài đặt thêm phần mềm, giả vờ khởi chạy một bản cập nhật định kỳ. Hành động này kích hoạt việc triển khai tải trọng Albiriox chính.

Một chiến dịch liên quan đã chuyển hướng các nạn nhân tiềm năng đến một trang web lừa đảo có chủ đề PENNY, nơi họ được yêu cầu cung cấp số điện thoại để nhận liên kết tải xuống WhatsApp. Chỉ những số điện thoại của Áo mới được chấp nhận, và tất cả các thông tin gửi đến đều được gửi đến một bot Telegram do kẻ tấn công kiểm soát.

Điều khiển từ xa và hoạt động bí mật

Khi được kích hoạt, Albiriox thiết lập giao tiếp với máy chủ Command-and-Control thông qua một socket TCP không được mã hóa. Điều này cho phép kẻ tấn công đẩy các lệnh được sử dụng để tương tác từ xa hoàn toàn. Các tính năng chính bao gồm:

• Điều khiển thiết bị dựa trên VNC, được hỗ trợ bởi mô-đun truy cập từ xa bổ sung
• Trích xuất dữ liệu nhạy cảm theo yêu cầu
• Triển khai màn hình đen hoặc trống để che giấu hoạt động độc hại
• Điều chỉnh âm lượng từ xa để duy trì hoạt động ẩn

Một biến thể sử dụng các dịch vụ trợ năng của Android để hiển thị tất cả các thành phần giao diện cho người vận hành. Kỹ thuật này được thiết kế đặc biệt để vượt qua các hạn chế của tính năng FLAG_SECURE của Android, vốn ngăn chặn việc chụp ảnh màn hình và ghi lại màn hình trong nhiều ứng dụng tài chính.

Bỏ qua các biện pháp bảo vệ giao diện để gian lận

Cơ chế phát trực tuyến dựa trên khả năng truy cập cung cấp cho kẻ tấn công khả năng biểu diễn giao diện thiết bị ở cấp độ nút. Vì tránh được các kỹ thuật chụp màn hình truyền thống, nó không kích hoạt các biện pháp bảo vệ tích hợp được sử dụng bởi các ứng dụng ngân hàng và tiền điện tử. Kết quả là, kẻ tấn công có được khả năng hiển thị liên tục, không bị hạn chế của các màn hình nhạy cảm.

Tấn công phủ lớp và thu thập thông tin xác thực

Tương tự như các trojan ngân hàng Android khác, Albiriox sử dụng các cuộc tấn công lớp phủ liên quan đến danh sách các ứng dụng mục tiêu được mã hóa cứng. Các lớp phủ này xuất hiện dưới dạng bảng đăng nhập hợp pháp hoặc hộp thoại hệ thống, cho phép đánh cắp thông tin đăng nhập hiệu quả. Ngoài ra, phần mềm độc hại còn tạo ra các màn hình gây hiểu lầm, chẳng hạn như lời nhắc cập nhật giả mạo hoặc màn hình đen hoàn toàn, để che giấu hoạt động của nó trong khi các hoạt động gian lận vẫn diễn ra ngầm.

Nền tảng ODF được trang bị đầy đủ

Albiriox thể hiện tất cả các đặc điểm nổi bật của một phần mềm độc hại lừa đảo trên thiết bị tiên tiến. Sự kết hợp giữa thao tác từ xa dựa trên VNC, quy trình làm việc tự động dựa trên khả năng truy cập, lớp phủ nhắm mục tiêu và các kỹ thuật thu thập dữ liệu động cho phép kẻ tấn công vượt qua các biện pháp kiểm soát xác thực và vượt qua các cơ chế phát hiện gian lận thông thường. Bằng cách hoạt động trực tiếp bên trong phiên làm việc hợp lệ của nạn nhân, phần mềm độc hại mang lại cho kẻ tấn công quyền kiểm soát cực kỳ cao và cơ hội lạm dụng đáng kể không kém.