Albiriox adlı tehlikeli yeni bir mobil tehdit ortaya çıktı ve suçlulara kurbanların Android telefonlarını tamamen ele geçirmeleri ve doğrudan bankacılık veya kripto para birimi uygulamalarından para çalmaları için bir araç sağladı. Çevrimiçi finansal dolandırıcılık tehditlerini tespit platformu Cleafy’nin Tehdit İstihbaratı ekibi, ortaya çıkan bu tehdidi tespit etti ve analiz etti.
‘Kiralık’ Dolandırıcılığının Yükselişi
Cleafy’nin blog gönderisine göre Albiriox, yer altı forumlarında Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak sunuluyor, bu da diğer suçluların kendi saldırılarını başlatmak için onu kiralayabileceği anlamına geliyor. Araştırmacılar operasyonun arkasında Rusça konuşan kişilerin olduğunu gösteren kanıtlar buldu.
Cleafy, tehdidi ilk olarak Eylül 2025’te özel testler sırasında tespit etti; bir ay sonra Ekim 2025’te halka açıldı. Proje ilk olarak belirli bir Telegram kanalında tartışıldı ve hizmetin aylık 650 dolar olarak fiyatlandırıldığı, daha sonra 720 dolara çıkarılmasının planlandığı bildirildi.
Saldırı Nasıl Çalışır?
Araştırmalar, Albiriox’un, saldırganların doğrudan kurbanın meşru uygulamalarında dolandırıcılık eylemleri gerçekleştirdiği bir teknik olan Cihaz İçi Dolandırıcılık (ODF) için tasarlandığını ortaya koyuyor. Bu, suçluların cihazın kendi güvenilir oturumunda çalışarak geleneksel güvenlik özelliklerini atlamalarına olanak tanır.
Kötü amaçlı yazılım, tespit edilmekten kaçınmak için yanıltıcı iki aşamalı bir dağıtım zinciri aracılığıyla yüklenir. Başlangıçta kurbanlar, SMS mesajları gibi sosyal mühendislik yöntemleriyle kandırılarak sahte bir uygulama indirmeye veya popüler perakende uygulaması Penny Market gibi yasal hizmetleri taklit eden damlalıklara yönlendiriliyor. Bu damlalık daha sonra ana Albiriox kötü amaçlı yazılımını sessizce yükler.
Cleafy bu yöntemin geliştiğini kısa sürede fark etti: açılış sayfası, indirme bağlantısını WhatsApp aracılığıyla almak için kullanıcılardan telefon numaralarını girmelerini istemeye başladı. Her ne kadar kötü amaçlı yazılım küresel çapta finans kurumlarına saldırmak için tasarlanmış olsa da, izlenen ilk kampanyalar özellikle Almanca yem kullanan Avusturyalı kullanıcıları hedef alıyordu.
Finansmanınız İçin Küresel Risk
Kötü amaçlı yazılımın dahili kodunun analizi, dünya çapında çok çeşitli bankaları, ödeme işlemcilerini ve dijital cüzdanları kapsayan 400’den fazla finans ve kripto uygulamasını hedef aldığını ortaya çıkardığı için tehdit çok büyük. Bu geniş liste, Albiriox’un küresel dolandırıcılık operasyonlarını desteklemek için tasarlandığını gösteriyor.
Albiriox iki temel özelliği birleştirir: canlı kontrol için bir Uzaktan Erişim aracı (RAT) ve şifreleri çalmak için ayrı bir Yer Paylaşımlı Saldırı mekanizması. Bilginiz olsun diye söylüyorum, RAT, bankacılık uygulamalarındaki ekran görüntülerini engelleyen güvenlik ekranlarını atlamak ve temelde dolandırıcıların ne yaptığınızı görmesine izin vermek için, geliştiricilerin başlangıçta AcVNC olarak tanıttığı bir işlev olan telefonun Erişilebilirlik özelliklerini kullanıyor.
Geliştiriciler, kullanıcılar tarafından kullanılan “hVNC” veya “ekran okuyucu” gibi terimlerin aslında birbirinin yerine kullanılabileceğini ve “tamamen pazarlama” olarak tanımlandığını açıkladı. Genel amaç, kurbanın ekranı kasıtlı olarak karartılırken saldırganlara kullanıcı arayüzünü kontrol etme ve hassas bilgileri çalma gücü veren “tüm cihazın ele geçirilmesidir”.
Araştırmacılar, “Albiriox, ODF odaklı mobil kötü amaçlı yazılımlara doğru daha geniş bir geçişi örnekleyen, hızla gelişen bir tehdidi temsil ediyor” sonucuna vardı.
Dallas, Teksas mobil güvenlik çözümleri sağlayıcısı Zimperium Ürün Stratejisi Başkan Yardımcısı Krishna Vishnubhotla, “Albiriox, saldırganların önce mobil saldırı stratejisine ne kadar hızlı geçiş yaptığını gösteren bir başka işaret. Uzaktan cihaz ele geçirme, gerçek zamanlı dolandırıcılık yetenekleri ve Hizmet Olarak Kötü Amaçlı Yazılım modelinin birleşimi, gelişmiş mobil saldırıları her zamankinden daha erişilebilir hale getiriyor” dedi.
Vishnubhotla şu uyarıda bulundu: “İşletmeler için bu, kritik bir gerçeğin altını çiziyor: Bir mobil cihazın güvenliği ihlal edildiğinde, saldırganlar kullanıcı olarak güvenilir uygulamaların içinde ve gerçek zamanlı olarak çalışabilir. Kuruluşların, dolandırıcılık veya hesap ele geçirme meydana gelmeden önce kötü niyetli davranışları tespit edebilen cihaz içi mobil güvenliğe ihtiyacı var.”