Nový malware pro Android s názvem Albiriox je nabízen v rámci modelu malware-as-a-service (MaaS) a poskytuje „kompletní spektrum“ funkcí pro usnadnění podvodů na zařízeních (ODF), manipulaci s obrazovkou a interakci v reálném čase s infikovanými zařízeními.
Malware obsahuje pevně zakódovaný seznam zahrnující více než 400 aplikací z oblasti bankovnictví, finančních technologií, platebních procesorů, kryptoměnových burz, digitálních peněženek a obchodních platforem.
„Malware využívá dropper aplikace distribuované prostřednictvím lákadel sociálního inženýrství v kombinaci s technikami balení, aby se vyhnul statické detekci a doručil svůj payload,“ uvedli výzkumníci společnosti Cleafy Federico Valentini, Alessandro Strino, Gianluca Scotti a Simone Mattia.
Albiriox byl poprvé inzerován jako součást omezené náborové fáze koncem září 2025, než o měsíc později přešel na nabídku MaaS. Existují důkazy nasvědčující tomu, že pachatelé hrozeb jsou rusky mluvící, a to na základě jejich aktivity na kyberzločineckých fórech, jazykových vzorců a použité infrastruktury.
Potenciálním zákazníkům je poskytnut přístup k vlastnímu builderu, který podle tvrzení vývojářů integruje službu třetí strany známou jako Golden Crypt, aby obešel antivirové a mobilní bezpečnostní řešení. V současnosti je dostupný za měsíční předplatné 720 dolarů.
Konečným cílem útoků je převzít kontrolu nad mobilními zařízeními a provádět podvodné akce, a to vše pod radarem. Alespoň jedna počáteční kampaň explicitně cílila na rakouské oběti využitím německých lákadel a SMS zpráv obsahujících zkrácené odkazy, které příjemce vedly na falešné seznamy aplikací v obchodě Google Play Store pro aplikace jako PENNY Angebote & Coupons.
Nic netušící uživatelé, kteří klikli na tlačítko „Instalovat“ na falešné stránce, byli kompromitováni dropper APK. Po instalaci a spuštění je aplikace vyzve k udělení oprávnění k instalaci aplikací pod záminkou aktualizace softwaru, což vede k nasazení hlavního malwaru.
Albiriox používá nešifrované TCP socketové připojení pro command-and-control (C2), což umožňuje pachatelům hrozeb vydávat různé příkazy pro vzdálené ovládání zařízení pomocí Virtual Network Computing (VNC), extrahovat citlivé informace, zobrazovat černé nebo prázdné obrazovky a zvyšovat/snižovat hlasitost pro operační nenápadnost.
Instaluje také modul vzdáleného přístupu založený na VNC, který umožňuje pachatelům hrozeb vzdáleně interagovat s kompromitovanými telefony. Jedna verze mechanismu interakce založeného na VNC využívá služby usnadnění Androidu k zobrazení všech prvků uživatelského rozhraní a usnadnění přítomných na obrazovce zařízení.
Podobně jako jiné bankovní trojany založené na Androidu podporuje Albiriox overlay útoky proti pevně zakódovanému seznamu cílových aplikací pro krádež přihlašovacích údajů. Navíc může sloužit jako overlay napodobující systémovou aktualizaci nebo černou obrazovku, aby umožnil provádění škodlivých aktivit na pozadí bez přitahování pozornosti.
Společnost Cleafy uvedla, že pozorovala také mírně pozměněný distribuční přístup, který přesměrovává uživatele na falešnou webovou stránku vydávající se za PENNY, kde jsou oběti instruovány k zadání svého telefonního čísla, aby obdržely přímý odkaz ke stažení přes WhatsApp. Stránka v současnosti přijímá pouze rakouská telefonní čísla. Zadaná čísla jsou exfiltrována do Telegram bota.
„Albiriox vykazuje všechny základní charakteristiky moderního malwaru pro podvody na zařízeních (ODF), včetně vzdáleného ovládání založeného na VNC, automatizace řízené usnadněním, cílených overlayů a dynamického získávání přihlašovacích údajů,“ uvedla společnost Cleafy. „Tyto schopnosti umožňují útočníkům obejít tradiční mechanismy autentizace a detekce podvodů tím, že operují přímo v rámci legitimní relace oběti.“
Zdroj: thehackernews.com
