Albiriox MaaS 惡意軟體
一種名為 Albiriox 的新型安卓威脅出現,代表了裝置端詐欺手段的最新演進。它以「惡意軟體即服務」模式進行推廣,提供了一套功能強大的工具包,用於遠端控制、自動化濫用和隱藏地操縱受害者的設備。
目錄
一種專為詐欺而建構的商業化威脅
Albiriox 被宣傳為一款功能齊全的行動即服務 (MaaS) 產品,旨在支援裝置端詐騙 (ODF)、即時裝置互動和無縫螢幕操控。早期活動表明,營運方最初於 2025 年 9 月下旬進行了小規模招募,之後才過渡到更廣泛的商業推廣。與論壇討論、語言使用和支援基礎設施相關的跡象表明,該項目是由講俄語的網路犯罪分子主導的。
據稱,開發人員還提供了一個自訂建構器,該建構器與 Golden Crypt 加密服務集成,使用戶能夠繞過防毒工具和行動安全防禦。
面向廣泛的應用領域
該惡意軟體嵌入了一個包含 400 多個目標應用程式的龐大硬編碼清單。這些應用程式涵蓋了廣泛的敏感類別,包括銀行、金融科技、加密貨幣交易所、支付處理商、數位錢包和線上交易平台。這種廣泛的攻擊目標與其竊取憑證、發動詐欺交易以及秘密存取金融應用程式的目標相符。
透過社會工程進行隱藏部署
傳播活動嚴重依賴欺騙性誘餌,旨在誘騙用戶安裝偽裝的投放器。攻擊者將社會工程技巧與打包和混淆技術相結合,以繞過靜態分析工具。一項針對奧地利用戶的攻擊活動使用了德語簡訊和短鏈接,指向偽造的 Google Play 應用程式商店頁面,例如「PENNY Angebote & Coupons」等應用程式。
受害者點擊虛假的「安裝」按鈕後,會在不知情的情況下下載一個投放器APK。啟動後,該應用程式會要求安裝其他軟體的權限,偽裝成例行更新。此操作會觸發Albiriox主程式的部署。
一項相關的詐騙活動將潛在受害者重新導向到以「PENNY」為主題的詐騙網站,誘導他們提供手機號碼以接收WhatsApp下載連結。該網站只接受奧地利手機號碼,所有提交的資訊都會被發送到一個由業者控制的Telegram機器人。
遠端控制和隱蔽操作
Albiriox 啟動後,會透過未加密的 TCP 套接字與其命令控制伺服器建立通訊。這使得攻擊者能夠推送用於完全遠端互動的命令。其主要功能包括:
- 基於 VNC 的設備控制,並由額外的遠端存取模組提供支援
- 按需提取敏感數據
- 部署黑屏或空白螢幕以掩蓋惡意活動
- 遠端音量調整以保持行動隱蔽性
其中一種變通方案利用安卓系統的輔助功能服務向操作員呈現所有介面元素。這項技術旨在繞過安卓系統 FLAG_SECURE 功能的限制,該功能會阻止許多金融應用程式中的螢幕截圖和螢幕錄製操作。
繞過介面保護進行欺詐
這種基於可訪問性驅動的串流機制使攻擊者能夠獲得設備介面的節點級表示。由於它避免了傳統的螢幕擷取技術,因此不會觸發銀行和加密貨幣應用程式內建的保護機制。結果,攻擊者可以持續、不受限制地查看敏感螢幕。
覆蓋攻擊和憑證竊取
與其他安卓銀行木馬類似,Albiriox 利用與其硬編碼的目標應用程式清單關聯的覆蓋層攻擊。這些覆蓋層偽裝成合法的登入面板或系統對話框,從而有效竊取使用者憑證。此外,該惡意軟體還會顯示誤導性螢幕,例如虛假的更新提示或全黑顯示,以隱藏其活動,同時在背景進行詐欺操作。
設備齊全的 ODF 平台
Albiriox 展現了高階裝置端詐騙惡意軟體的所有典型特徵。它融合了基於 VNC 的遠端操控、基於可訪問性的自動化工作流程、定向覆蓋層和動態資料擷取技術,使攻擊者能夠繞過身分驗證控制並躲過傳統的詐欺偵測機制。透過直接在受害者的合法會話中運行,該惡意軟體賦予其操作者極高的控制權,同時也提供了同樣巨大的濫用機會。
