Siber suç ortamında, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak gelişmiş uzaktan erişim yetenekleri sunan, “Albiriox” adı verilen yeni ve gelişmiş bir Android kötü amaçlı yazılım ailesi ortaya çıktı.
Cleafy’deki araştırmacılar tarafından tanımlanan kötü amaçlı yazılımın, saldırganlara virüslü cihazlar üzerinde tam kontrol vererek güvenlik önlemlerini atlamalarına ve finansal hesapları boşaltmalarına olanak tanıyarak Cihaz İçi Dolandırıcılık (ODF) gerçekleştirmek üzere tasarlandığı belirtiliyor.
Albiriox ilk olarak Eylül 2025’te özel yer altı forumlarında ortaya çıktı ve Ekim ayında özel beta aşamasından halka açık ticari teklife geçiş yaptı.
Operasyonun, aracı agresif bir şekilde pazarlayan Rusça konuşan tehdit aktörleri tarafından yönetildiğine inanılıyor. Hizmet, kötü amaçlı yazılımın kapsamlı araç setine erişim için bağlı kuruluşlardan ayda yaklaşık 650 dolar ücret alan bir abonelik modeliyle başlatıldı.
Basit kimlik bilgisi hırsızlarının aksine Albiriox, gerçek zamanlı etkileşim için tasarlanmıştır. Kurbanın ekranını doğrudan saldırgana aktaran bir VNC (Sanal Ağ Bilgi İşlem) modülünden yararlanır.
Bu, suçluların mağdurun cihazında manuel olarak, genellikle kullanıcı farkında olmadan bankacılık dolandırıcılığı yapmasına olanak tanıyarak cihazın parmak izi alma ve iki faktörlü kimlik doğrulama (2FA) protokollerini etkin bir şekilde atlatmasına olanak tanır.
İki Aşamalı Enfeksiyon Zinciri
Albiriox’un dağıtımı, tespit edilmekten kaçınmak için tasarlanmış aldatıcı iki aşamalı bir sürece dayanır. İlk kampanyalar, popüler “Penny Market” uygulamasının sahte bir versiyonunu kullanarak Avusturya’daki kullanıcıları hedef alıyordu. Enfeksiyon zinciri genellikle şu adımları takip eder:
- Sosyal Mühendislik: Mağdurlar, indirim veya ödül vaat eden kısaltılmış bağlantıların bulunduğu SMS mesajları alıyor ve onları sahte bir Google Play Store sayfasına yönlendiriyor.
- Damlalık Kurulumu: Kullanıcı bir damlalık uygulamasını (örneğin, sahte Penny uygulaması) indirir.
- Yük Teslimatı: Yüklendikten sonra, damlalık “Bilinmeyen Uygulamaları Kur” izinlerini ister ve gerçek Albiriox yükünü bir komut ve kontrol (C2) sunucusundan alır.
Son zamanlardaki versiyonlar, kullanıcıların indirme bağlantılarını almak için telefon numaralarını girmelerini gerektiren ve Avusturya gibi belirli bölgelere yönelik hedefleri daha da filtreleyen WhatsApp tabanlı yemleri içerecek şekilde gelişti.
Albiriox’un mimarisi gizlilik ve kontrole odaklanıyor. Kötü amaçlı yazılımın statik antivirüs motorları tarafından Tamamen Tespit Edilemez (FUD) olmasını sağlamak için üçüncü taraf bir şifreleme hizmeti olan “Golden Crypt”i kullanır. Etkinleştiğinde, katman saldırıları ve keylogging gerçekleştirmek için Erişilebilirlik Hizmetlerini kullanır.
Kötü amaçlı yazılım, 400’den fazla uygulamadan oluşan bir hedef listesiyle sabit kodlanmış olarak gelir. Cleafy, bu kapsamlı listenin dünya çapındaki başlıca geleneksel bankacılık uygulamalarını, kripto para cüzdanlarını ve ödeme işlemcilerini içerdiğini ekledi.
Aşağıdaki tablo, analiz sırasında gözlemlenen Albiriox operasyonlarının teknik profilini özetlemektedir.
| Özellik | Detaylar |
|---|---|
| Kötü Amaçlı Yazılım Türü | Android Bankacılık Truva Atı / Uzaktan Erişim Truva Atı (RAT) |
| Dağıtım Modeli | Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) |
| Birincil Taktikler | Cihaz İçi Dolandırıcılık (ODF), Yer Paylaşımlı Saldırılar, VNC Yayını |
| Hedef Kapsamı | 400+ Finans ve Kripto Uygulaması |
| Teknik Kaçış | “Golden Crypt” gizleme, JSONPacker, İki aşamalı damlalık |
| Komuta ve Kontrol | JSON tabanlı komutlarla şifrelenmemiş TCP Soketi |
Albiriox’un hızlı gelişim döngüsü, kendisini finansal dolandırıcılık için baskın bir araç olarak konumlandırdığını gösteriyor. Ekran akışını erişilebilirlik manipülasyonuyla birleştirme yeteneği, tehdit aktörlerinin siyah ekran kaplamalarının arkasında görünmez bir şekilde çalışmasına olanak tanıyor ve bu da onu dünya çapındaki finans kurumları ve Android kullanıcıları için kritik bir tehdit haline getiriyor.
IOC’ler
| Gösterge Türü | Değer | Liman / Notlar |
|---|---|---|
| C2 Sunucusu IP’si | 194.32.79.94 | 5555 (Samplef5b501e3’e bağlı…) |
| Teslimat Alanı | google-uygulama-indirme[.]indirmek | Kimlik Avı / Damlalık Teslimatı |
| Teslimat Alanı | google-get[.]indirmek | Kimlik Avı / Damlalık Teslimatı |
| Teslimat Alanı | google uygulaması[.]indirmek | Kimlik Avı / Damlalık Teslimatı |
| Teslimat Alanı | play.google-get[.]mağaza | Kimlik Avı / Damlalık Teslimatı |
| Teslimat Alanı | google-app-get[.]iletişim | Kimlik Avı / Damlalık Teslimatı |
| Teslimat Alanı | google-get-app[.]iletişim | Kimlik Avı / Damlalık Teslimatı |
| Teslimat Alanı | google-uygulama-yükleme[.]iletişim | Kimlik Avı / Damlalık Teslimatı |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
