マルウェア・アズ・ア・サービス(MaaS)として宣伝されている新たなAndroidマルウェアファミリーが、ロシア語圏のサイバー犯罪フォーラムに登場し、端末の完全な乗っ取りやリアルタイム詐欺機能を提供しています。
「Albiriox」として知られるこのマルウェアは、オンデバイス詐欺(ODF)をサポートするよう設計されており、すでに世界中の400以上の銀行および暗号通貨アプリケーションを標的にしていると、Cleafy Threat Intelligenceチームによる分析で報告されています。
リモートコントロールや認証情報収集機能を備えた急成長中のAndroid脅威であるAlbirioxは、2025年9月のプライベートベータ版から、10月に導入されたパブリックなMaaSモデルへと移行しました。
フォーラムの投稿では、オペレーターがマルウェアのアクセシビリティベースのVNCモジュールを宣伝しており、攻撃者が感染端末をリモートで操作できることを強調しています。サブスクリプションアクセスは月額650ドルで開始され、10月21日以降は720ドルに値上げされました。
初期キャンペーンは標的型展開を示唆
最初に観測された展開の波は、範囲が限定されているようでした。あるキャンペーンでは、オーストリアのモバイルユーザーを対象に、ドイツ語のフィッシングページへ誘導するSMSリンクが使われました。被害者は最初、偽のGoogle Playサイトに誘導され、そこで悪意のある「Penny Market」アプリが配布され、最終的なAlbirioxペイロードのドロッパーとして機能しました。
その後、攻撃者は電話番号収集スキームに移行し、WhatsApp経由でダウンロードリンクを配信、オーストリアの番号のみを受け付けるように入力をフィルタリングしました。
研究者によると、ドロッパーはJSONPackerを使って基礎コードを難読化し、被害者にAlbirioxインストール前に「不明なアプリのインストール」権限を有効にするよう促しました。アクティブ化されると、マルウェアは暗号化されていないTCPチャネル経由でコマンドサーバーに接続し、ハードウェアやOS識別子を使って端末を登録します。
Androidバンキングマルウェアに関する詳細: Android端末がKONNI APTによるFind Hub悪用の標的に
調査によると、Albirioxは以下を含む幅広い詐欺支援機能を備えています:
-
VNCおよびアクセシビリティベースのビューによるリアルタイム画面ストリーミング
-
ブラックスクリーンやシステムアップデートのオーバーレイ
-
クリック、スワイプ、テキスト入力、アプリ起動などのUI自動化
運用者は回避性を重視
Cleafyはまた、購入者がAlbirioxが完全に検出不可能かどうかを尋ねているフォーラムの議論も特定しました。開発者は、静的スキャンを回避するためにGolden Crypt暗号化サービスを統合したカスタムビルダーを強調して回答しました。
同社は、AlbirioxがODFに特化したモバイルマルウェアへの加速的なシフトを反映していると結論づけています。MaaSモデル、2段階の配信チェーン、幅広い標的リストを持つことで、アナリストはこのマルウェアが急速に成熟し、世界中の金融機関にとって増大するリスクとなると予測しています。
「この多次元的な可視性により、金融機関は攻撃チェーンの最初期段階で侵害を検知し、詐欺が実行される前に正確かつコンテキストに応じた対応ポリシーを適用できます」とCleafyは述べています。
「モバイルバンキングの脅威が成熟し続ける中、これらの指標を実用的な防御策に統合する能力が、この新たなAndroidマルウェアのクラスに先んじるために不可欠となるでしょう。」
翻訳元: https://www.infosecurity-magazine.com/news/android-maas-malware-albiriox-dark/
