Albiriox, saldırganlara virüs bulaşmış telefonlar üzerinde canlı uzaktan kontrol sağlayan ve gerçek oturumlar sırasında banka ve kripto hesaplarını sessizce boşaltmalarına olanak tanıyan yeni bir Android bankacılık kötü amaçlı yazılım ailesidir.
Araştırmacılar, hızla gelişme belirtileri gösteren ve halihazırda güçlü yeteneklere sahip olan Albiriox adlı yeni bir Android kötü amaçlı yazılım ailesini analiz etti. Albiriox, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak satılıyor; bu, giriş seviyesi siber suçluların kolayca erişim kiralayıp kendi dolandırıcılık kampanyalarını başlatabilecekleri anlamına geliyor. İlk kez Eylül 2025’te saldırganların sınırlı bir üye toplama aşamasına başlamasıyla gözlemlendi.
Albiriox, suçluların yalnızca şifreleri çalmak yerine doğrudan kurbanın telefonunda işlem gerçekleştirdiği, cihaz içi dolandırıcılık için tasarlanmış bir Android Uzaktan Erişim Truva Atı (RAT) ve bankacılık Truva Atı’dır. Dünya çapındaki finansal uygulamalara ve kripto para birimi hizmetlerine göre tasarlanmış yükleyiciler, komut modülleri ve kontrol panellerinden oluşan yapılandırılmış bir mimariye sahiptir.
İlk kampanyalardan birinde Albiriox Avusturya’yı hedef aldı. Ancak tek bir bankaya veya ülkeye odaklanan eski mobil kötü amaçlı yazılımların aksine Albiriox halihazırda birden fazla bölgede yüzlerce bankacılık, fintech, ödeme ve kripto uygulamasını hedefliyor. Dahili uygulama izleme veri tabanı 400’den fazla uygulamayı içeriyordu.
Bu bir MaaS hizmeti olduğu için saldırganlar Albiriox’u istedikleri şekilde dağıtabilirler. Olağan yöntemler, sahte uygulamalar ve sosyal mühendislik yoluyla, çoğunlukla da meşru markaları veya uygulama mağazalarını taklit eden smishing veya bağlantılar yoluyladır. En az bir kampanyada kurbanlar, kötü niyetli bir damlalık yüklemeleri için onları kandırmak amacıyla Google Play indirme sayfasını taklit eden sahte bir perakendeci uygulamasıyla kandırıldı.
Kurbanların gördüğü ilk uygulama genellikle ekstra izinler aldıktan sonra ana Albiriox yükünü indirip yükleyen bir yükleyicidir. Kötü amaçlı yazılım, radarın altında kalabilmek için güvenlik ürünlerinin tespitini zorlaştırmak amacıyla gizleme ve şifreleme hizmetlerini kullanıyor.
Albiriox’u öne çıkaran nedir?
Albiriox, saldırganlara telefonunuz üzerinde sanki telefonu ellerinde tutuyormuş gibi neredeyse aynı kontrolü sağlamak için birlikte çalışan birkaç gelişmiş özelliği birleştirir:
- Canlı uzaktan kumanda: Kötü amaçlı yazılım, cihaz ekranını gerçek zamanlı olarak dokunabilen, kaydırabilen, yazabilen ve gezinebilen saldırgana aktarır.
- Cihaz içi dolandırıcılık araçları: Suçlular, kendi cihazınızı ve oturumunuzu kullanarak bankacılık veya kripto uygulamalarınızı açabilir, transferleri başlatabilir ve onaylayabilir.
- Erişilebilirliğin kötüye kullanılması: Tıklamaları otomatikleştirmek, ekran içeriğini okumak ve bazı güvenlik istemlerini atlamak için Android Erişilebilirlik Hizmetlerini kötüye kullanıyor.
- Yer paylaşımı saldırıları (aktif geliştirme aşamasında): İyileştirilen şablonlarla, kimlik bilgilerini ve kodları toplamak için gerçek uygulamaların üzerinde sahte giriş veya doğrulama ekranları gösterebilir.
- Siyah–ekran maskeleme: Kötü amaçlı yazılım, saldırgan arka planda çalışırken siyah veya sahte bir ekran gösterebilir ve sahtekarlığı kullanıcıdan gizleyebilir.
Canlı uzaktan kumanda bu maskelemeyle gizlenir, böylece kurbanlar olup biteni fark etmez.
Dolandırıcılık kurbanın kendi cihazında ve oturumunda gerçekleştiği için suçlular genellikle çok faktörlü kimlik doğrulamayı ve cihazdaki parmak izi kontrollerini atlayabiliyor.
Nasıl güvende kalınır?
Cihazınızda tuhaf davranışlar fark ederseniz veya resmi Play Store’dan yüklediğinizi hatırlamadığınız “yardımcı program”, “güvenlik”, “perakendeci” veya “yatırım” gibi genel adlara sahip uygulamalar tespit ederseniz, güvenilir bir Android kötü amaçlı yazılımdan koruma çözümüyle tam sistemi çalıştırın.
Ancak önleme daha iyidir:
- Mümkün olduğunda yalnızca resmi uygulama mağazalarındaki uygulamaları yükleyin ve SMS, e-posta veya mesajlaşma uygulamalarındaki bağlantılarda tanıtılan uygulamaları yüklemekten kaçının.
- Finansla ilgili veya perakendeci uygulamalarını yüklemeden önce, tek bir tanıtım bağlantısına güvenmek yerine geliştirici adını, indirme sayısını ve kullanıcı yorumlarını doğrulayın.
- Cihazlarınızı koruyun. Bu kötü amaçlı yazılımı zaten tespit eden Malwarebytes for Android gibi güncel, gerçek zamanlı bir kötü amaçlı yazılımdan koruma çözümü kullanın.
- İzinleri inceleyin. Bir uygulamanın yapmasını istediğiniz işi yapmak için gerçekten talep ettiği izinlere ihtiyacı var mı? Özellikle erişilebilirlik, SMS veya kamera erişimi istiyorsa.
- En son güvenlik düzeltmelerini alabilmek için Android’i, Google Play hizmetlerini ve tüm bankacılık veya kripto uygulamalarını güncel tutun.
- Bankacılık ve kripto hizmetlerinde çok faktörlü kimlik doğrulamayı etkinleştirin ve mümkün olduğunda SMS yerine uygulama tabanlı veya donanım tabanlı kodları tercih edin. Mümkünse yeni alacaklılar, büyük transferler veya yeni cihazlardan yapılan oturum açma işlemleri için hesap uyarıları ayarlayın.
Yalnızca telefon güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. iOS için Malwarebytes’i ve Android için Malwarebytes’i bugün indirerek tehditleri mobil cihazlarınızdan uzak tutun.