Logiciel malveillant Albiriox MaaS
Une nouvelle menace Android, connue sous le nom d'Albiriox, représente la dernière évolution des opérations de fraude sur appareil. Proposée sous forme de logiciel malveillant en tant que service (SaaS), elle offre une panoplie complète d'outils permettant le contrôle à distance, l'exploitation automatisée et la manipulation furtive des appareils des victimes.
Table des matières
Une menace commercialisée conçue pour la fraude
Albiriox est présenté comme une solution MaaS complète conçue pour faciliter la fraude sur appareil (ODF), l'interaction en temps réel avec l'appareil et la manipulation d'écran en toute fluidité. Les premières activités suggèrent que les opérateurs ont initialement mené une phase de recrutement limitée fin septembre 2025 avant de procéder à un déploiement commercial plus large. Les indicateurs liés aux discussions sur les forums, à l'utilisation de différentes langues et à l'infrastructure sous-jacente laissent penser que des cybercriminels russophones sont à la tête du projet.
Les développeurs proposent également un outil de création personnalisé qui, selon certaines informations, s'intègre au service de cryptage Golden Crypt, permettant ainsi aux clients de contourner les outils antivirus et les systèmes de sécurité mobile.
Cibler un large paysage d’applications
Le logiciel malveillant intègre une liste exhaustive, codée en dur, de plus de 400 applications ciblées. Celles-ci couvrent un large éventail de secteurs sensibles, notamment les services bancaires, les fintechs, les plateformes d'échange de cryptomonnaies, les processeurs de paiement, les portefeuilles numériques et les plateformes de trading en ligne. Cette approche de ciblage à grande échelle s'inscrit dans son objectif de capture d'identifiants, d'initiation de transactions frauduleuses et de maintien d'un accès clandestin aux applications financières.
Déploiement clandestin par ingénierie sociale
La distribution repose en grande partie sur des leurres trompeurs conçus pour inciter les utilisateurs à installer des programmes d'installation dissimulés. Les attaquants combinent des techniques d'ingénierie sociale avec des techniques de compression et d'obfuscation pour contourner les outils d'analyse statique. Une campagne ciblant des utilisateurs autrichiens a utilisé des SMS en allemand et des URL raccourcies menant à de fausses pages du Google Play Store pour des applications telles que « PENNY Angebote & Coupons ».
Les victimes qui ont cliqué sur le faux bouton « Installer » ont téléchargé à leur insu un fichier APK piégé. Après son lancement, l'application a demandé l'autorisation d'installer des logiciels supplémentaires, en prétendant lancer une mise à jour de routine. Cette action a déclenché le déploiement du logiciel malveillant Albiriox.
Une campagne connexe redirigeait les victimes potentielles vers un site web frauduleux imitant PENNY, où elles étaient invitées à fournir leur numéro de téléphone pour recevoir un lien de téléchargement WhatsApp. Seuls les numéros autrichiens étaient acceptés, et toutes les demandes étaient transmises à un bot Telegram contrôlé par les opérateurs.
Opérations secrètes et de contrôle à distance
Une fois activé, Albiriox établit une communication avec son serveur de commande et de contrôle via une connexion TCP non chiffrée. Cela permet aux acteurs malveillants d'envoyer des commandes pour une interaction à distance complète. Ses principales fonctionnalités sont les suivantes :
- Contrôle des périphériques via VNC, pris en charge par un module d'accès à distance supplémentaire
- Extraction à la demande de données sensibles
- Déploiement d'un écran noir ou vide pour masquer une activité malveillante
- Réglages de volume à distance pour maintenir la discrétion opérationnelle
Une variante utilise les services d'accessibilité d'Android pour présenter tous les éléments d'interface aux opérateurs. Cette technique vise expressément à contourner les restrictions de la fonction FLAG_SECURE d'Android, qui empêche les captures d'écran et les enregistrements d'écran dans de nombreuses applications financières.
Contournement des protections d’interface à des fins de fraude
Le mécanisme de diffusion basé sur l'accessibilité offre aux attaquants une représentation détaillée de l'interface de l'appareil. Comme il évite les techniques classiques de capture d'écran, il ne déclenche pas les protections intégrées des applications bancaires et de cryptomonnaies. De ce fait, les attaquants obtiennent une visibilité permanente et illimitée des écrans sensibles.
Attaques par superposition et collecte d’identifiants
À l'instar d'autres chevaux de Troie bancaires Android, Albiriox utilise des attaques par superposition liées à sa liste prédéfinie d'applications cibles. Ces superpositions se présentent comme des fenêtres de connexion ou des boîtes de dialogue système légitimes, permettant ainsi un vol d'identifiants efficace. De plus, le logiciel malveillant affiche des écrans trompeurs, tels que de fausses notifications de mise à jour ou des écrans complètement noirs, afin de dissimuler ses activités pendant que des opérations frauduleuses se déroulent en arrière-plan.
Plateforme ODF entièrement équipée
Albiriox présente toutes les caractéristiques typiques des logiciels malveillants de fraude embarqués avancés. Son association de manipulation à distance via VNC, de flux de travail automatisés exploitant l'accessibilité, de superpositions ciblées et de techniques de collecte dynamiques permet aux attaquants de contourner les contrôles d'authentification et de tromper les mécanismes classiques de détection de fraude. En opérant directement au sein de la session légitime de la victime, ce logiciel malveillant confère à ses opérateurs un niveau de contrôle exceptionnellement élevé et une opportunité d'abus tout aussi importante.
