New Albiriox MaaS Malware Targets 400+ Apps for On-Device Fraud and Screen Control

Albiriox : Le nouveau malware MaaS ciblant les fraudes bancaires sur mobile

Une nouvelle menace Android nommée Albiriox se propage via un modèle de “malware-as-a-service” (MaaS). Ce logiciel malveillant est conçu pour faciliter les fraudes directement sur l’appareil (On-Device Fraud - ODF) et le contrôle de l’écran, ciblant plus de 400 applications financières, bancaires, de trading et de cryptomonnaies.

Albiriox utilise des applications “dropper” distribuées par ingénierie sociale, souvent déguisées en mises à jour logicielles ou via des liens SMS trompeurs menant à de fausses pages du Google Play Store. Une fois installé, il demande des permissions étendues, y compris celles d’installer d’autres applications, pour déployer sa charge utile principale.

Le malware établit une connexion non chiffrée pour communiquer avec ses serveurs de commande et contrôle (C2). Il peut ainsi exécuter diverses actions à distance : contrôle du terminal via VNC, extraction d’informations sensibles, affichage d’écrans noirs ou blancs pour masquer ses activités, et manipulation du volume sonore. L’utilisation des services d’accessibilité Android lui permet de contourner les protections contre la capture d’écran et l’enregistrement, offrant aux attaquants une vue complète de l’interface utilisateur.

Albiriox peut également lancer des attaques par superposition (overlay attacks) pour usurper l’identité d’applications bancaires ciblées et voler les identifiants des utilisateurs. Une campagne observée utilisait des leurres en langue allemande pour cibler spécifiquement des victimes autrichiennes. Les données collectées, comme les numéros de téléphone, peuvent être exfiltrées via des bots Telegram.

Points clés :

• Modèle MaaS : Albiriox est proposé comme un service, rendant ses capacités accessibles à un plus grand nombre d’acteurs malveillants.
• Ciblage financier : Vise plus de 400 applications financières et bancaires pour réaliser des fraudes sur l’appareil.
• Ingénierie sociale : Utilise des leurres variés et de fausses pages d’applications pour tromper les utilisateurs.
• Contrôle à distance avancé : Permet une manipulation complète de l’appareil via VNC et les services d’accessibilité.
• Contournement des protections : Capable de déjouer les mesures de sécurité des applications bancaires (capture d’écran, enregistrement) grâce aux services d’accessibilité.

Vulnérabilités exploitées (générales, aucune CVE spécifique mentionnée pour Albiriox) :

• Permissions étendues demandées par les applications malveillantes.
• Exploitation des services d’accessibilité pour un accès plus profond à l’interface utilisateur.
• Faiblesses dans la validation des sources d’installation d’applications (hors Google Play Store).
• Ingénierie sociale ciblant les utilisateurs pour les inciter à installer des applications malveillantes.

Recommandations :

• Se méfier des applications provenant de sources inconnues ou non officielles.
• Vérifier attentivement les permissions demandées par les applications avant de les accorder.
• Ne jamais télécharger d’applications depuis des liens reçus par SMS ou email sans vérification approfondie.
• Maintenir le système d’exploitation Android et les applications à jour.
• Utiliser une solution de sécurité mobile fiable.
• Être particulièrement vigilant avec les applications bancaires et financières, en vérifiant leur authenticité.
• Désactiver l’installation d’applications de sources inconnues dans les paramètres de sécurité Android.

Source