Albiriox zlonamjerni softver cilja 400+ aplikacija

AUTOR ·

Albiriox je, prema nedavnom izvještaju sigurnosnih istraživača Cleafy Threat Intelligence, novi trojanac za daljinski pristup (eng. remote access trojan – RAT) prepoznat kao glavni vektor u nizu ciljanih napada na finansijske institucije. Njegova sposobnost da zaobiđe autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) i kontrole otisaka prstiju uređaja jasno pokazuje potencijal da izazove ozbiljnu štetu.

Albiriox

Albiriox zlonamjerni softver cilja 400+ aplikacija; Source: Bing Image Creator

ALBIRIOX RAT

Pojava novog Android zlonamjernog softvera nazvanog Albiriox privukla je pažnju u svijetu sajber kriminala. Riječ je o prijetnji koja funkcioniše po modelu zlonamjerni softver kao usluga (eng. malware-as-a-service – MaaS), osmišljenom da omogući širok spektar prevara na uređaju i manipulaciju ekranom. Albiriox su otkrili sigurnosni istraživači u septembru 2025 godine i započeli njegovo praćenje.

Već na početku, Albiriox je pokazao opsežne mogućnosti prevara na uređaju (eng. on-device fraud – ODF), sa preko 400 unaprijed definisanih meta u globalnom finansijskom i kriptovalutarskom sektoru, što naglašava njegov potencijal za široko rasprostranjenu štetu.

Njegova brza evolucija svjedoči o naprednosti savremenih operacija sajber kriminala. Korištenjem tehnika izbjegavanja, manipulacije uređajima u realnom vremenu i širokog spektra ciljanja, Albiriox predstavlja ozbiljan rizik za finansijske institucije i njihove klijente.

Širenje preko ponude zlonamjerni softver kao usluga (MaaS) značajno je smanjilo prepreke za sajber kriminalce da pokreću složene napade. Albiriox je primjer ovog trenda, jer spaja najsavremenije tehničke mogućnosti sa operativnim pristupom osmišljenim da zaobiđe tradicionalne bezbjednosne kontrole.

Zbog toga, organizacije u sektorima mobilnog bankarstva, tehnologija u finansijama i kriptovaluta moraju biti svjesne rizika koje ovaj zlonamjerni softver donosi.

 

Mehanizmi distribucije i isporuke

Mehanizmi distribucije i isporuke koje koristi Albiriox zlonamjerni softver višestruki su i pažljivo osmišljeni da izbjegnu otkrivanje. Jedna od primijećenih kampanja ciljala je austrijske korisnike putem SMS phishing napada, gdje su žrtve dobijale poruke koje su se lažno predstavljale kao da dolaze iz renomiranih izvora, poput popularnih maloprodajnih lanaca. Takve poruke često su sadržale veze ili priloge koji su vodili do preuzimanja zlonamjernih APK datoteka, koje funkcionišu kao ubacivači (eng. droppers).

Posebno efikasna taktika u ovom pogledu jeste korištenje lažnih Google Play stranica. Oslanjajući se na povjerenje i kredibilitet zvaničnih prodavnica aplikacija, zlonamjerni akteri se predstavljaju kao poznati trgovci i time stvaraju privid legitimiteta oko svojih aplikacija opterećenih zlonamjernim softverom. Ove aplikacije su često napravljene da imitiraju popularne aplikacije za mobilno bankarstvo, tehnologije u finansijama ili kriptovalute, što korisnicima otežava razlikovanje od originalnih usluga. Nesluteći korisnici tako bivaju podstaknuti da ih preuzmu, dok same aplikacije često koriste tehnike zamagljivanja poput JSONPackera kako bi prikrile svoju stvarnu namjeru.

Manipulacija žrtvama da odobre dozvole za instalaciju pod maskom sistemskih ažuriranja predstavlja još jedan ključni aspekt Albiriox strategije distribucije. Ova metoda se oslanja na nedostatak svijesti korisnika o ažuriranjima i njihovu sklonost da vjeruju u legitimnost takvih zahtjeva. Na taj način zlonamjerni softver uspijeva da se učvrsti na kompromitovanim uređajima, zaobilazeći tradicionalne bezbjednosne mjere.

Mehanizmi distribucije Albirioxa nisu statični, već se stalno prilagođavaju promjenljivim mjerama zaštite i ponašanju korisnika. Primjer takve prilagodljivosti jeste uvođenje sistema isporuke zasnovanog na WhatsApp platformi, gdje se od žrtava traži da unesu austrijske brojeve telefona prije nego što dobiju vezu za preuzimanje. Ovaj dodatni sloj složenosti otežava sigurnosnim istraživačima i analitičarima praćenje širenja zlonamjernog softvera.

Upotreba Telegram botova takođe ima značajnu ulogu u Albiriox strategiji distribucije. Slanjem podataka direktno sa kompromitovanih uređaja ovim botovima, zlonamjerni akteri prikupljaju vrijedne informacije o ponašanju i navikama žrtava. Te informacije se zatim koriste za usavršavanje taktika i povećanje efikasnosti budućih kampanja.

Pored tehničke složenosti, Albiriox distribucija u velikoj mjeri počiva na principima društvenog inženjeringa. Zlonamjerni akteri iskorištavaju ljudsku psihologiju stvarajući osjećaj hitnosti ili radoznalosti, čime navode potencijalne žrtve da stupaju u interakciju sa zlonamjernim sadržajem.

 

Funkcionisanje

Kada žrtva preuzme i instalira jednu od aplikacija za ubacivanje, na uređaju se pokreće Albiriox programski paket prve faze. Ova početna kodna baza uspostavlja vezu sa serverima za udaljeno komandovanje i kontrolu (C&C), kojima upravljaju akteri iza Albiriox zlonamjernog softvera.

Druga faza donosi kompletne komponente koje omogućavaju manipulaciju i kontrolu u realnom vremenu nad inficiranim uređajima. Programi su osmišljeni da izbjegnu otkrivanje od strane tradicionalnih bezbjednosnih rješenja.

Ključni dio predstavlja modul za udaljeni pristup zasnovan na virtuelnom računarskom umrežavanju (eng. Virtual Network Computing – VNC). On omogućava potpunu kontrolu nad uređajem i obavljanje transakcija unutar legitimne sesije žrtve.

Daljinske komande koje Albiriox koristi tokom navigacije, izvlačenja podataka, prikrivanja i upravljanja aplikacijama olakšavaju izvršavanje prevara na uređaju (ODF). Funkcije poput click, swipe, home, back, recent i power omogućavaju operaterima da se neprimjetno kreću kroz aplikacije, održavajući prikriveno prisustvo dok se izvode zlonamjerne aktivnosti.

Pored toga, Albiriox nudi mogućnosti izvlačenja podataka kroz funkcije get_phone_password, clear_phone_password, live_key, live_key_stop i set_vnc_mode. Na taj način akteri izdvajaju osjetljive informacije, održavaju kontrolu sesije i pojednostavljuju izvršavanje prevara.

Modul za udaljeni pristup omogućava i transakcije unutar legitimne sesije žrtve, koristeći prilagođeni VNC modul za pristupačnost (AcVNC). On se oslanja na Android usluge pristupačnosti kako bi omogućio uvid u zaštićene aplikacije. Posebno je značajna sposobnost da se zaobiđu bezbjednosne funkcije poput FLAG_SECURE, čime se otvara pristup osjetljivim aplikacijama u realnom vremenu.

Ova funkcionalnost pokazuje prilagodljivost Albiriox softvera i pruža visok nivo kontrole nad ugroženim pametnim telefonima.

Sekundarni dio predstavlja mehanizam preklapajućih napada (eng. overlay attack), osmišljen za prikupljanje podataka za prijavu iz aplikacija bankarstva, finansijskih tehnologija i kriptovaluta. Iako je još u razvoju, pokazuje potencijal da proširi mogućnosti softvera.

Mehanizam koristi unaprijed definisane šablone za lažno predstavljanje okruženja legitimnih aplikacija i krađu podataka za prijavu. Time se naglašava promjenljiva priroda mobilnog zlonamjernog softvera i njegova rastuća složenost.

Izvršavanje komandi tokom preklapajućih napada, poput blank_screen, black_blank_screen, volume_up i volume_down, omogućava prikrivanje vizuelnih ili zvučnih znakova koji bi mogli izazvati sumnju.

Upravljanje aplikacijama je još jedna važna funkcija, jer akteri mogu pokretati ili uklanjati aplikacije putem instrukcija launch_app i uninstall_app. To otvara prostor za dodatne aktivnosti društvenog inženjeringa i prikrivanje tragova.

Na kraju, prisustvo ping i pong komandi potvrđuje stalnu komunikaciju između inficiranih uređaja i C&C servera, obezbjeđujući koordinaciju među akterima i održavanje kontrole.

 

Komunikacija sa komandnim i kontrolnim (C&C) serverom

Inficirani uređaji postaju dio botneta koji komunicira putem nešifrovanih TCP utičnica sa Albiriox C&C serverom tokom početnog rukovanja. Ovaj mehanizam omogućava zlonamjernim akterima da održe kontrolu nad kompromitovanim pametnim telefonima, šaljući podatke poput ID hardvera i verzije operativnog sistema.

Ključni aspekt procesa je uspostavljanje neobezbijeđene veze između uređaja zlonamjernog aktera i inficiranog Android pametnog telefona korištenjem VNC protokola. Upotreba TCP utičnica dodatno olakšava iskorištavanje, pružajući akterima sredstva za interakciju sa uređajima u realnom vremenu.

Tehnička osnova komunikacije C&C servera zasniva se na korištenju Android usluga pristupačnosti, čime se omogućava uvid u zaštićene aplikacije koje bi inače bile nedostupne zbog FLAG_SECURE mehanizama. Ovaj nivo kontrole daje zlonamjernim akterima mogućnost da u potpunosti upravljaju kompromitovanim pametnim telefonima i koriste ih u zlonamjerne svrhe.

Pored primarne funkcionalnosti, mehanizam komunikacije C&C servera olakšava i prikupljanje podataka za prijavu u različite finansijske i kriptovalutama povezane aplikacije navedene u klasi AppInfos unutar Albiriox kôdne baze. Ova sposobnost naglašava globalne ambicije zlonamjernog softvera i njegovu prilagodljivost u ciljanju različitih sektora.

 

Golden Crypt integracija

Integracija Albiriox zlonamjernog softvera sa Golden Crypt servisom predstavlja ključni dio njegovog dizajna, jer upravo kroz ovaj servis programeri mogu razviti potpuno neotkrivene zlonamjerne pakete (eng. fully undetectable – FUD) koji izbjegavaju statičke mehanizme detekcije. Golden Crypt, kao alat treće strane za kriptovanje, koriste zlonamjerni akteri da prikriju pravi sadržaj kôda i zaštite ga od mobilnih antivirusnih sistema, primjenjujući napredne tehnike šifrovanja koje otežavaju bezbjednosnom softveru da ga identifikuje i označi kao prijetnju.

Iskorištavanjem mogućnosti koje pruža Golden Crypt, Albiriox može da ostane ispod radara tokom dužeg vremenskog perioda. Korištenje potpuno neotkrivenih zlonamjernih paketa (FUD) osigurava glatkiji proces instalacije i produžava vrijeme zadržavanja na kompromitovanim uređajima.

Pakovanje Albiriox softvera sa prilagođenim alatom za pravljenje APK datoteka integrisanim u Golden Crypt pokazuje inovativan pristup razvoju mobilnih prijetnji unutar sajber kriminalnih zajednica. Ova integracija omogućava kreiranje naprednog, prikrivenog softvera koji uspješno izbjegava tradicionalne mjere zaštite.

Dodatno, korištenje potpuno neotkrivenih zlonamjernih paketa (FUD) u kombinaciji sa modelom zlonamjerni softver kao usluga (MaaS) ima ozbiljne posljedice po bezbjednost mobilnih uređaja. Besprijekorna povezanost između udaljenih komandi Albiriox softvera i mogućnosti Golden Crypt kriptovanja naglašava napredno razumijevanje principa razvoja modernog zlonamjernog softvera u okviru ekosistema sajber kriminala.

 

UTICAJ

Pojava Albiriox zlonamjernog softvera označila je novu eru u napadima na mobilne uređaje, sa dalekosežnim posljedicama i za korisnike i za organizacije. Kao prijetnja razvijena u okviru modela zlonamjerni softver kao usluga (MaaS), njegove mogućnosti su prilagođene da olakšaju opsežne prevare na uređajima (ODF), pri čemu se cilja više od 400 visokovrijednih resursa u globalnom finansijskom i kriptovalutnom sektoru.

Posljedice prisustva Albiriox softvera su višestruke: korisnici se suočavaju sa povećanim rizikom krađe identiteta, neovlaštenih transakcija i kompromitovanja osjetljivih podataka, dok organizacije trpe štetu po reputaciju, finansijske gubitke i regulatorne pritiske. Njegova sposobnost da zaobiđe tradicionalne bezbjednosne kontrole stvara okruženje u kojem čak i sistemi koji djeluju bezbjedno ostaju ranjivi.

Uticaj na povjerenje korisnika posebno je značajan, jer Albiriox pokazuje da nijedan uređaj ili sistem nije potpuno imun na sajber prijetnje. Kako se mobilni telefoni sve više koriste za finansijske transakcije i osjetljive aktivnosti, rizik je veći nego ikada. Neaktivnost u suočavanju sa ovim prijetnjama može dovesti do katastrofalnih gubitaka za organizacije koje se ne prilagode novom pejzažu.

Dugoročne posljedice prisustva Albiriox softvera protežu se izvan pojedinačnih organizacija, zahvatajući čitave industrije i ekonomije. Zbog toga je od ključne važnosti da kreatori politika, regulatori i lideri industrije zajednički razviju sveobuhvatne strategije za ublažavanje ove prijetnje.

 

ZAKLJUČAK

Kampanja Albiriox zlonamjernog softvera odlikuje se naprednim taktikama, tehnikama i procedurama. Njegov primarni cilj jeste finansijska dobit kroz ciljane napade na finansijske institucije visoke vrijednosti.

Ključna osobina Albiriox softvera je sposobnost prilagođavanja i razvoja tokom vremena, uz dodavanje novih funkcija i metoda kako bi izbjegao otkrivanje tradicionalnim bezbjednosnim mjerama. Modularni dizajn omogućava da se lako ažurira ili mijenja bez narušavanja postojeće funkcionalnosti, što zlonamjernim akterima daje prednost u iskorištavanju ranjivosti.

Kampanja pokazuje i jasno razumijevanje arhitekture mobilnih uređaja, koristeći mogućnosti poput daljinskog upravljanja zasnovanog na VNC protokolu i napada preko preklapanja radi ostvarivanja ciljeva. Dodatno, upotreba JSONPacker zamagljivanja kôda naglašava sposobnost softvera da izbjegne otkrivanje standardnim bezbjednosnim alatima.

Upotreba Telegram botova za komunikaciju sa komandno-kontrolnim (C&C) serverima ukazuje na značaj održavanja pouzdanih praksi bezbjednosti komunikacije na mobilnim uređajima. To podrazumijeva da aplikacije i usluge namijenjene bezbjednoj komunikaciji moraju biti pravilno podešene i redovno ažurirane.

Na kraju, kampanja Albiriox softvera ističe potrebu za stalnim održavanjem bezbjednosti mobilnih uređaja, uključujući redovna ažuriranja, pažljive procedure instalacije aplikacija i budno praćenje sumnjivih aktivnosti. Informisanost o prijetnjama poput Albiriox softvera omogućava korisnicima da se bolje zaštite od finansijske zloupotrebe.

 

PREPORUKE

Zaštita od Albiriox zlonamjernog softvera zahtijeva sveobuhvatan pristup u kojem se odgovornost dijeli između korisnika i organizacija. Da bi se rizici umanjili i bezbjednost očuvala, potrebno je pratiti sljedeće preporuke:

  1. Organizacije bi trebalo da onemoguće opciju “Instaliraj nepoznate aplikacije” gdje god je to moguće kako bi spriječile instaliranje zlonamjernih aplikacija na uređajima, dok pojedinci mogu iskoristiti ovu funkciju instaliranjem aplikacija samo iz pouzdanih izvora.
  2. Redovno praćenje sistemskih zapisa uređaja i aktivnosti sistema za bilo kakvu sumnjivu upotrebu usluga pristupačnosti, koje Albiriox zlonamjerni softver može iskoristiti za dobijanje neovlaštenog pristupa osjetljivim informacijama.
  3. Implementacija robusnih rješenja za analitiku ponašanja koja mogu da otkriju obrasce prevare na uređajima, pomažući organizacijama da identifikuju potencijalne bezbjednosne prijetnje prije nego što eskaliraju u potpune napade.
  4. Redovno ažuriranje i održavanje rješenja za zaštitu krajnjih tačaka kako bi se osiguralo da prepoznaju zamaskirane i upakovane korisne sadržaje povezane sa Albiriox zlonamjernim softverom.
  5. Razviti sveobuhvatne inicijative za edukaciju korisnika koje naglašavaju važnost svijesti o društvenom inženjeringu, phishing mamacima koji iskorištavaju lažne prodavnice aplikacija ili sistemska ažuriranja i drugim taktikama koje koriste zlonamjerni akteri za kompromitovanje uređaja.
  6. Redovno sprovoditi temeljne bezbjednosne revizije kako biste identifikovali ranjivosti u sistemima i aplikacijama, omogućavajući organizacijama da preduzmu proaktivne mjere za rješavanje ovih slabosti prije nego što ih zlonamjerni akteri iskoriste.
  7. Implementirajte jake mehanizme autentifikaciju u više koraka (eng. multi-factor authentication – MFA) koji prevazilaze tradicionalne kombinacije korisničkog imena i lozinke, što zlonamjernim akterima otežava neovlašteni pristup osjetljivim informacijama.
  8. Koristiti renomirani i ažurirani softver za zaštitu od zlonamjernog softvera posebno dizajniran za Android uređaje koji može da otkrije Albiriox zlonamjerni softver i druge prijetnje.
  9. Prije instaliranja aplikacija vezanih za finansije ili maloprodaju, provjeriti ime programera, broj preuzimanja i korisničke recenzije kako bi se osiguralo da su legitimni i pouzdani izvori.
  10. Suzdržavati ti se se od klikova na neželjene veze poslate putem SMS poruka, elektronske pošte ili aplikacija za razmjenu poruka koji mogu dovesti korisnike do zlonamjernih internet lokacija ili ih podstaći da instaliraju nepoznate aplikacije.
  11. Razmisliti o korištenju pouzdane usluge virtuelne privatne mreže (eng. virtual private networ – VPN) prilikom pristupa javnim Wi-Fi mrežama ili drugim neobezbijeđenim vezama kako bi se osiguralo od prisluškivanja i potencijalnih napada čovjeka u sredini (eng. man-in-the-middle attacks).
  12. Redovno ažurirajte operativne sisteme, aplikacije i zaštitni zid na svim povezanim uređajima kako bi se osiguralala dostupnost najnovijih bezbjednosnih ispravki i funkcija.
  13. Redovno praviti rezervne kopije važnih datoteka, dokumenata i drugih osjetljivih informacija sačuvanih na uređajima ili u uslugama skladištenja u oblaku kako bi se osiguralo da neće biti ugrožene tokom napada.
  14. Razvijati sveobuhvatne planove odgovora na sajber prijetnju koji definišu procedure za reagovanje na bezbjednosne incidente, uključujući napade Albiriox zlonamjernog softvera, kako bi se smanjili uticaji ovih događaja.
  15. Redovno sprovodite temeljne testove penetracije i procjene ranjivosti na sistemima i aplikacijama kako bi se identifikovale ranjivosti prije nego što ih zlonamjerni akteri iskoriste.
  16. Implementirati jake mehanizme kontrole pristupa, uključujući kontrolu pristupa zasnovanu na ulogama (eng. role-based access control – RBAC) i principe najmanje privilegija, kako bi se osiguralo da samo ovlašćeno osoblje ima pristup osjetljivim informacijama i sistemima.

Prateći ove preporuke, pojedinci mogu zaštititi svoje uređaje od pokušaja neovlaštenog pristupa, dok organizacije mogu smanjiti rizik od bezbjednosnih incidenata implementacijom robusnih bezbjednosnih kontrola i sprovođenjem redovnih procjena ranjivosti.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.