Исследователи обнаружили семейство вредоносного ПО для Android под названием Albiriox. Это MaaS (malware‑as‑a‑service), управляемое русскоязычными злоумышленниками, ориентированное на глобальный финансовый и криптовалютный сектор. Вредоносное ПО демонстрирует активную разработку и сложную двухэтапную стратегию распространения, направленную на обход обнаружения и долговременный контроль над устройствами жертв.
«Albiriox демонстрирует активную разработку и сложную двухэтапную стратегию развертывания, направленную на то, чтобы избежать обнаружения.»
Ключевые факты
- Форма предоставления: MaaS — вредоносное ПО предлагается как сервис с пользовательским конструктором и подпольной поддержкой.
- Операторы: управляется русскоязычными злоумышленниками; обсуждается как полностью необнаруживаемое (FUD) на подпольных форумах.
- Цели: глобальный финансовый сектор и криптовалютные сервисы; в исходном коде жёстко задано более 400 целевых показателей.
- Двухэтапный механизм развёртывания: приложения‑дропперы, замаскированные под легитимный софт, с использованием социальной инженерии и поддельных страниц Google Play.
- Обфускация: применяет JSONPacker, усложняющий статический анализ.
- Коммуникация с инфраструктурой управления: постоянный канал через незашифрованное соединение сокета TCP (C2), поддерживающий дистанционное управление.
Механизм распространения
Атака обычно начинается с поддельного приложения‑дроппера, маскируемого под законный сервис. Злоумышленники используют социальную инженерию — ложные страницы Google Play, фальшивую документацию и убедительные описания — чтобы убедить пользователя установить приложение вне официальных каналов. После запуска дроппер разворачивает основную полезную нагрузку Albiriox.
Функциональные возможности вредоносного ПО
- Удалённое управление: злоумышленники получают возможности взаимодействовать с устройством жертвы в реальном времени, аналогично RAT.
- Сбор учётных записей: реализация множества оверлейных атак — несколько типов экранов наложения используются для перехвата логинов, паролей и других конфиденциальных данных.
- Мониторинг приложений: отслеживание основных финансовых приложений и взаимодействие с ними; жёстко заданы более 400 целей.
- Постоянная связь с C2: устанавливается незашифрованный TCP‑канал, что обеспечивает устойчивую связь и управление.
- Многочисленные команды: обширный набор команд для манипуляций экраном, мониторинга и финансовых махинаций.
Тактики уклонения и инфраструктура MaaS
Разработчики делают упор на уклонение от обнаружения: использование JSONPacker затрудняет статический анализ, а обсуждения на подпольных форумах указывают на стремление сделать продукт «FUD». Кроме того, оператор предлагает пользовательский конструктор в составе MaaS, что снижает барьер входа для других злоумышленников и ускоряет распространение семейства.
Риски для финансового и криптосектора
Albiriox представляет серьёзную угрозу для пользователей мобильного банковского ПО и криптокошельков: комбинация оверлеев, реального мониторинга и дистанционного управления позволяет злоумышленникам перехватывать учётные данные, подтверждать транзакции и поддерживать длительный контроль над устройством. Наличие >400 жёстко заданных целей указывает на прицельную ориентированность на финансовые приложения по всему миру.
Рекомендации по защите
- Не устанавливать приложения из непроверенных источников; загружать ПО только из официальных магазинов.
- Отключить «Установка из неизвестных источников» на Android и проинструктировать сотрудников/пользователей о рисках sideloading.
- Включить многофакторную аутентификацию (MFA) для финансовых и криптосервисов.
- Использовать решения Mobile Threat Defense/EDR для обнаружения аномальной сетевой активности и overlay‑атак.
- Мониторить исходящие TCP‑соединения и подозрительную активность приложений на мобильных устройствах.
- Обновлять ОС и приложения; применять политики ограниченного доступа к привилегиям приложений.
- Проводить обучение пользователей по распознаванию фишинга и поддельных страниц магазинов приложений.
Вывод
Появление Albiriox подчёркивает эволюцию угроз мобильного банкинга: злоумышленники объединяют современные методы обфускации, реального удалённого управления и детализированных оверлейных атак в MaaS‑сервис, доступный многим преступникам. Это требует повышенной бдительности от организаций финансового сектора, провайдеров мобильной безопасности и конечных пользователей — как на уровне технических мер, так и в области цифровой гигиены.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Albiriox: Android‑MaaS для атак на банки и криптовалютный сектор".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.