Albiriox: Yeni Android Malware Tehdidi
Yeni bir Android zararlı yazılımı olan Albiriox, malware-as-a-service (MaaS) modeli altında tanıtılmakta ve cihaz içi dolandırıcılığı (ODF), ekran manipülasyonu ve enfekte olmuş cihazlarla gerçek zamanlı etkileşim sağlamak için geniş bir özellik yelpazesi sunmaktadır. Bu zararlı yazılım, bankacılık, finans teknolojisi, ödeme işlemcileri, kripto para borsaları, dijital cüzdanlar ve ticaret platformları dahil olmak üzere 400’den fazla uygulamanın hardcoded bir listesini içermektedir.
Nasıl Çalışır?
Albiriox, sosyal mühendislik tuzaklarıyla dağıtılan dropper uygulamaları kullanarak, statik tespitlerden kaçınmak için packing teknikleriyle birlikte çalışır. Araştırmacılar, bu zararlı yazılımın Eylül 2025 sonunda sınırlı bir işe alım aşaması olarak tanıtıldığını ve bir ay sonra MaaS sunumuna geçtiğini belirtmektedir. Siber suç forumlarındaki etkinlikleri ve dilsel kalıplarına dayanarak, bu saldırganların Rusça konuştuğu düşünülmektedir.
Hedef Altyapı ve Dağıtım Stratejileri
Potansiyel müşterilere, bir üçüncü parti şifreleme hizmeti olan Golden Crypt ile teçhiz edilmiş özel bir yapılandırıcıya erişim sağlanmaktadır. Saldırıların nihai hedefi, mobil cihazların kontrolünü ele geçirerek dolandırıcılık eylemleri gerçekleştirmektir.
Örneğin, Albiriox’un ilk kampanyalarından biri, Avusturya’daki kurbanları hedef alarak Alman dilinde sosyal mühendislik mesajları kullanmıştır. Bu kampanyalar, potansiyel kurbanları sahte Google Play Store uygulama listelemelerine yönlendiren kısa linkler içeren SMS mesajları ile gerçekleştirilmiştir.
Uzaktan Kontrol ve Erişim Yöntemleri
Albiriox, komut ve kontrol (C2) için şifrelenmemiş bir TCP soket bağlantısı kullanır. Böylece, saldırganlar cihazı uzaktan kontrol edebilir, hassas bilgileri çıkarabilir, boş veya karanlık ekranlar sunabilir ve ses seviyesini kontrol edebilir. Ayrıca, VNC tabanlı uzaktan erişim modülü yükleyerek, saldırganların enfekte olmuş telefonlarla etkileşim kurmasını sağlar.
Gizlilik ve Koruma Aşma Teknikleri
Albiriox, kullanıcı arayüzü ve erişebilirlik hizmetlerini görüntülemek için Android’in mevcut erişebilirlik servislerinden faydalanarak, Android’in FLAG_SECURE korumalarının etrafından dolaşmayı başarmaktadır. Birçok bankacılık ve kripto para uygulaması artık ekran kaydını ve görüntü yakalamayı engellediğinden, bu tekniklerin uygulanması, zararlı yazılımın arka planda eylemler gerçekleştirmesine olanak tanır.
Sonuç ve Öneriler
Albiriox, modern cihaz içi dolandırıcılık (ODF) zararlıları arasında yer almakta ve VNC tabanlı uzaktan kontrol, erişilebilirlik odaklı otomasyon, hedefli overlay saldırıları ve dinamik kimlik bilgisi toplama gibi birçok özelliği içermektedir. Kullanıcıların bu tür tehditlere karşı dikkatli olmaları ve güvenlik önlemleri almaları elzemdir. Özelikle, güvenilir olmayan uygulamalardan kaçınmak ve izinlerin dikkatlice gözden geçirilmesi büyük önem taşımaktadır.
