Экран гаснет, деньги уходят. Троян Albiriox научился выводить «пустые» окна, чтобы скрыть ограбление

Albiriox RadzaRat Golden Crypt BTMOB Cleafy Certo D3Lab Android вредоносное ПО
Экран гаснет, деньги уходят. Троян Albiriox научился выводить «пустые» окна, чтобы скрыть ограбление
Albiriox RadzaRat Golden Crypt BTMOB Cleafy Certo D3Lab Android вредоносное ПО

Жертва уверена, что смартфон просто находится в спящем режиме, в то время как злоумышленники получают полный контроль.

image

На фоне роста схем с управлением заражёнными устройствами в сети появился новый инструмент для атак на Android. Компании по анализу угроз сообщили о выходе сразу нескольких сервисов, которые продаются по модели MaaS (Malware-as-a-Service) и позволяют злоумышленникам незаметно контролировать смартфоны, выполнять операции в банковских приложениях и обходить защитные механизмы.

Albiriox стал одной из наиболее заметных новинок. Его разработчики предлагают набор функций для скрытого управления экраном, автоматизации действий и перехвата данных. Внутри вредоносной программы зашит большой список из сотен финансовых приложений, с которыми она может работать.

Распространение строится на цепочке из поддельных страниц и приложений-установщиков. Такие программы маскируются под реальные сервисы, используют уловки с упаковкой и социальными приманками, чтобы пройти статический анализ. Команда Cleafy указывает, что первые объявления о продаже инструмента появились осенью, а по ряду признаков создатели родом из Восточной Европы.

Покупателям предоставляют генератор для сборки собственной версии, а также поддержку стороннего шифрующего сервиса Golden Crypt для обхода защитных решений. Одна из зафиксированных кампаний была нацелена на Австрию. Жертвы получали ссылки на фальшивые страницы Google Play, где им предлагали установить поддельное приложение PENNY Angebote & Coupons. После запуска программа просила разрешить установку новых компонентов под видом обновления и доставляла основной вредонос.

Albiriox использует незашифрованное соединение через TCP для управления и позволяет удалённо работать с устройством через VNC, извлекать данные, выводить пустые экраны и менять громкость для маскировки действий. Дополнительно устанавливается модуль удалённого доступа на базе VNC, который задействует сервисы доступности Android, чтобы обойти ограничение FLAG_SECURE и получать полный обзор интерфейса даже в приложениях, блокирующих запись экрана.

Вредонос также может подменять интерфейс популярных сервисов или показывать фиктивные системные окна, скрывая операции в фоне. Вариант схемы распространения с поддельным сайтом PENNY предусматривает сбор австрийских номеров телефонов и их передачу в Telegram-бот.

На фоне этих находок появилось ещё одно вредоносное ПО под названием RadzaRat. Оно распространяется как легальный файловый менеджер, но после установки получает доступ к файловой системе, может выгружать данные, фиксировать нажатия клавиш через сервисы доступности и управляться через Telegram. Для удержания в системе применяются разрешения на автозапуск после перезагрузки и обход ограничений энергосбережения. Представитель Certo София Тейлор отмечает, что инструмент рассчитан на людей без технических навыков, что делает его особенно привлекательным для криминальных групп.

Параллельно исследователи D3Lab обнаружили поддельные страницы Google Play для приложения «GPT Trade», распространяющие вредоносы семейства BTMOB и модуль UASecurity Miner. BTMOB, описанный в начале года, использует сервисы доступности для разблокировки устройств, перехвата вводимых данных и проведения операций от имени пользователя.

Прочие выявленные кампании включают распространение заражённых APK под видом контента для взрослых. Такие схемы используют многоступенчатую инфраструктуру с обфускацией и проверками, которые помогают уходить от анализа, о чём сообщили специалисты Unit 42.