Albiriox MaaS 恶意软件
一种名为 Albiriox 的新型安卓威胁出现,代表了设备端欺诈手段的最新演变。它以“恶意软件即服务”模式进行推广,提供了一套功能强大的工具包,用于远程控制、自动化滥用和隐蔽地操纵受害者的设备。
目录
一种专为欺诈而构建的商业化威胁
Albiriox 被宣传为一款功能齐全的移动即服务 (MaaS) 产品,旨在支持设备端欺诈 (ODF)、实时设备交互和无缝屏幕操控。早期活动表明,运营方最初于 2025 年 9 月下旬进行了小规模招募,之后才过渡到更广泛的商业推广。与论坛讨论、语言使用和支持基础设施相关的迹象表明,该项目是由讲俄语的网络犯罪分子主导的。
据称,开发人员还提供了一个自定义构建器,该构建器与 Golden Crypt 加密服务集成,使用户能够绕过防病毒工具和移动安全防御。
面向广泛的应用领域
该恶意软件嵌入了一个包含 400 多个目标应用程序的庞大硬编码列表。这些应用程序涵盖了广泛的敏感类别,包括银行、金融科技、加密货币交易所、支付处理商、数字钱包和在线交易平台。这种广泛的攻击目标与其窃取凭证、发起欺诈交易以及秘密访问金融应用程序的目标相符。
通过社会工程进行隐蔽部署
传播活动严重依赖于欺骗性诱饵,旨在诱骗用户安装伪装的投放器。攻击者将社会工程学技巧与打包和混淆技术相结合,以绕过静态分析工具。一项针对奥地利用户的攻击活动使用了德语短信和短链接,指向伪造的 Google Play 应用商店页面,例如“PENNY Angebote & Coupons”等应用。
受害者点击虚假的“安装”按钮后,会在不知情的情况下下载一个投放器APK。启动后,该应用会请求安装其他软件的权限,伪装成例行更新。此操作会触发Albiriox主程序的部署。
一项相关的诈骗活动将潜在受害者重定向到一个以“PENNY”为主题的欺诈网站,诱导他们提供手机号码以接收WhatsApp下载链接。该网站只接受奥地利手机号码,所有提交的信息都会被发送到一个由运营者控制的Telegram机器人。
远程控制和隐蔽操作
Albiriox 激活后,会通过未加密的 TCP 套接字与其命令控制服务器建立通信。这使得攻击者能够推送用于完全远程交互的命令。其主要功能包括:
- 基于 VNC 的设备控制,并由额外的远程访问模块提供支持
- 按需提取敏感数据
- 部署黑屏或空白屏幕以掩盖恶意活动
- 远程音量调节以保持行动隐蔽性
其中一种变通方案利用安卓系统的辅助功能服务向操作员呈现所有界面元素。这项技术旨在绕过安卓系统 FLAG_SECURE 功能的限制,该功能会阻止许多金融应用程序中的屏幕截图和屏幕录制操作。
绕过接口保护进行欺诈
这种基于可访问性驱动的流式传输机制使攻击者能够获得设备界面的节点级表示。由于它避免了传统的屏幕捕获技术,因此不会触发银行和加密货币应用程序内置的保护机制。结果,攻击者可以持续、不受限制地查看敏感屏幕。
覆盖攻击和凭证窃取
与其他安卓银行木马类似,Albiriox 利用与其硬编码的目标应用程序列表关联的覆盖层攻击。这些覆盖层伪装成合法的登录面板或系统对话框,从而有效窃取用户凭证。此外,该恶意软件还会显示误导性屏幕,例如虚假的更新提示或全黑显示,以隐藏其活动,同时在后台进行欺诈操作。
设备齐全的 ODF 平台
Albiriox 展现了高级设备端欺诈恶意软件的所有典型特征。它融合了基于 VNC 的远程操控、基于可访问性的自动化工作流程、定向覆盖层和动态数据采集技术,使攻击者能够绕过身份验证控制并躲过传统的欺诈检测机制。通过直接在受害者的合法会话中运行,该恶意软件赋予其操作者极高的控制权,同时也提供了同样巨大的滥用机会。
