オンライン詐欺対策会社Cleafyによると、ロシア語を話す脅威アクターによって新しいAndroidマルウェア「Albiriox」がサイバー犯罪フォーラムで提供されています。
Albirioxは、オンデバイス詐欺(ODF)を目的としたバンキングトロイの木馬であり、攻撃者が侵害されたモバイルデバイスを制御して、被害者の暗号通貨や銀行アプリケーションから不正な取引を実行できるようにします。
このマルウェアは現在も開発中のようです。リモートアクセス機能を備えており、侵害されたAndroidデバイスをリアルタイムで制御できる機能は、完全に動作しているようです。
Albirioxはオーバーレイ攻撃にも利用できます。これは正規アプリケーションの上にフィッシングページを表示し、ユーザーを騙して銀行や暗号通貨の認証情報を入力させる手法です。この機能はCleafyの研究者がマルウェアを分析した時点では、まだ開発中でした。
Albirioxは9月に登場し、開発者が初期バージョンのユーザー募集を開始しました。このトロイの木馬は10月からマルウェア・アズ・ア・サービス(MaaS)モデルで提供されており、最初の1週間にサブスクリプションを購入した場合は月額650ドル、10月21日からは月額720ドルとなっています。
最初のAlbirioxキャンペーンのひとつはオーストリアのユーザーを標的とし、Pennyスーパーマーケットの偽アプリを宣伝してマルウェアをインストールさせる手口でした。
この偽アプリはドロッパーとして機能し、被害者に権限昇格を許可させた上で、最終的なペイロードとしてAlbirioxマルウェア自体を配布しました。
マルウェアの分析により、Albirioxは世界中の400以上のアプリケーション、銀行、暗号通貨、フィンテック、ウォレット、トレーディング、決済、投資、ゲームアプリなどを標的としていることが判明しました。
マルウェアの検知回避率を高めるため、開発者はGolden Cryptという暗号化サービスと統合したカスタムビルダーを提供しています。
「ビルダーパイプラインにGolden Cryptを組み込むことで、Albirioxの運用者がマルウェアをステルス最適化製品として意図的に位置付けていることが示唆されます。これは静的検知メカニズムを回避し、特に二段階配信やアクセシビリティベースのデバイス乗っ取りに依存するマルウェアの初期感染段階での成功率を高めることを目的としています」とCleafyの研究者は説明しています。
翻訳元: https://www.securityweek.com/new-albiriox-android-malware-developed-by-russian-cybercriminals/
