Albiriox: российские хакеры запустили вредоносное ПО для полного контроля над Android-устройствами

Основной вектор атаки, наблюдаемый на текущий момент, нацелен на пользователей в Австрии. Злоумышленники рассылают SMS-сообщения на немецком языке, которые ведут жертв на фишинговые страницы, имитирующие Google Play. В конечном итоге пользователю предлагается установить вредоносный дроппер, маскирующийся под легитимное приложение сети супермаркетов Penny Market. После установки дроппер выводит поддельное системное уведомление о необходимости обновления, чтобы вынудить пользователя разрешить установку приложений из неизвестных источников.

Получив разрешение, дроппер использует технику динамической загрузки JSONPacker для распаковки и установки финального вредоносного модуля Albiriox. Этот подход существенно усложняет статический анализ и обнаружение угрозы. Для обеспечения стойкости (persistence) и функциональности, после установки троянец запрашивает широкие разрешения для службы специальных возможностей (Accessibility Service). Именно это становится краеугольным камнем его удаленного контроля.

Ядро возможностей Albiriox составляет технология удаленного доступа, основанная на VNC. Вредоносная программа реализует двухрежимную систему: традиционный захват экрана и поток, управляемый через службу специальных возможностей. Последний режим позволяет злоумышленникам получать доступ к элементам интерфейса даже когда банковские приложения используют защиту FLAG_SECURE для блокировки скриншотов. Операторы могут переключаться между режимами через веб-панель управления и выполнять детальные команды, включая клики, свайпы, ввод текста, кейлоггинг, запуск приложений и затемнение экрана.

Помимо функций удаленного администрирования (RAT), Albiriox оснащен модулем атак с использованием оверлеев (наложенных окон). Хотя эта функция все еще находится в активной разработке, текущие версии уже содержат как универсальные шаблоны, так и специализированные экраны для конкретных приложений. Операторы могут активировать их во время сессии, чтобы скрыть мошеннические действия от взгляда жертвы. Список целей троянца включает более 400 пакетов приложений по всему миру, охватывающих традиционные банки, необанки, криптовалютные биржи и цифровые кошельки.

Для распространения и монетизации угрозы злоумышленники используют модель MaaS. Albiriox продается на русскоязычных подпольных форумах с ежемесячной подпиской, стартующей от 650 долларов США. В услугу входит кастомизированный конструктор, который пропускает скомпилированные APK-файлы через коммерческий криптор Golden Crypt. Этот дополнительный слой обфускации помогает начальным компонентам вредоносной программы избегать обнаружения сигнатурными системами безопасности достаточно долго для получения критически важных разрешений.

Таким образом, Albiriox представляет собой новое поколение Android-троянцев, которые делают ставку не на перехват SMS или подбор учетных данных, а на полный захват контроля над устройством в реальном времени. Стремительный переход проекта от закрытой беты к публичному сервису, а также постоянное расширение функционала указывают на то, что в ближайшие месяцы эта семья вредоносных программ может стать распространенным инструментом в арсенале финансово мотивированных киберпреступников. Аналитики считают Albiriox формирующейся и значимой угрозой.

MD5

• 61b59eb41c0ae7fc94f800812860b22a
• b6bae028ce6b0eff784de1c5e766ee33
• f09b82182a5935a27566cdb570ce668f
• f5b501e3d766f3024eb532893acc8c6c

SHA1

• 1bf53adfede11f6857a95d7b74b40011ff201009
• 731a13bad6316fda68c9d57fb4e562dd0c1130ce
• b0913e8cbff6a9623cf97a3d4d796ec259e24df7
• bb2b152adbba554409746bf64d8df71d80a236ea

SHA256

• 070640095c935c245f960e4e2e3e93720dd57465c81fa9c72426ee008c627bf3
• 5e14181839816bbb4b55badc91f29d382e8d6f603eec2ed8f8b731c35def6b59
• 630b047722d553495def3b8e744f2f621209e1a77389c09a9a972eeb243f9ed8
• a0c9d6eb1932c96a11301c00cf96ce9767fb11401e090f215f972df06b09a878