【安全圈】新型 Albiriox 惡意軟件攻擊 Android 用戶，可完全控制受害者設(shè)備

關(guān)鍵詞

惡意軟件

一種名為 Albiriox 的新型高級(jí) Android 惡意軟件正在迅速擴(kuò)散，它作為“惡意軟件即服務(wù)”出售，具備完整的遠(yuǎn)程操控與金融欺詐能力。根據(jù) Cleafy 的研究人員，該惡意程序?qū)樵谟脩粼O(shè)備上直接實(shí)施欺詐而打造。攻擊者能夠在受害者的手機(jī)上實(shí)時(shí)執(zhí)行銀行操作，完全繞過設(shè)備指紋、行為檢測(cè)與雙因子認(rèn)證等安全機(jī)制，以極高的隱蔽性完成資金盜取。

Albiriox 最初在 2025 年 9 月出現(xiàn)在封閉的地下論壇中，當(dāng)時(shí)仍處于私測(cè)階段。到了 10 月，它被公開推向黑市，以每月約 650 美元的訂閱費(fèi)出售。研究者認(rèn)為，其背后運(yùn)營(yíng)團(tuán)隊(duì)是俄語(yǔ)黑客組織，他們正積極推廣這款能夠遠(yuǎn)程操控受害者手機(jī)的金融犯罪工具。

與傳統(tǒng)的木馬不同，Albiriox 的能力更接近于實(shí)時(shí)的遠(yuǎn)程訪問系統(tǒng)。惡意軟件內(nèi)置 VNC 流屏模塊，可把受害者設(shè)備的實(shí)時(shí)畫面?zhèn)骰毓粽叨耍沟霉粽吣軌蛳癫僮髯约旱氖謾C(jī)一樣完成轉(zhuǎn)賬、登錄銀行、提交驗(yàn)證碼等動(dòng)作，而受害者通常毫不察覺，因?yàn)閻阂廛浖梢砸院谄粱蚋采w界面隱藏這些操作。

其傳播方式采用雙階段結(jié)構(gòu)，以提高成功率和隱蔽性。早期攻擊主要針對(duì)奧地利用戶。受害者會(huì)先收到偽裝成折扣消息或獎(jiǎng)勵(lì)通知的短信，短信中附有縮短鏈接，引導(dǎo)用戶進(jìn)入偽造的 Google Play 頁(yè)面并下載偽造的 Penny Market 應(yīng)用。這款應(yīng)用實(shí)際上是一個(gè) dropper，會(huì)要求啟用“安裝未知應(yīng)用”權(quán)限，然后從攻擊者的指揮控制服務(wù)器下載真正的 Albiriox 主體程序，以完全繞過 Google Play 的安全檢測(cè)機(jī)制。隨著攻擊手法的演變，新的投放方式已經(jīng)加入 WhatsApp 誘導(dǎo)流程，用戶必須輸入手機(jī)號(hào)才能獲得下載鏈接，從而使攻擊更有區(qū)域針對(duì)性，尤其集中在奧地利地區(qū)。

與傳統(tǒng)的木馬不同，Albiriox 的能力更接近于實(shí)時(shí)的遠(yuǎn)程訪問系統(tǒng)。惡意軟件內(nèi)置 VNC 流屏模塊，可把受害者設(shè)備的實(shí)時(shí)畫面?zhèn)骰毓粽叨耍沟霉粽吣軌蛳癫僮髯约旱氖謾C(jī)一樣完成轉(zhuǎn)賬、登錄銀行、提交驗(yàn)證碼等動(dòng)作，而受害者通常毫不察覺，因?yàn)閻阂廛浖梢砸院谄粱蚋采w界面隱藏這些操作。

其傳播方式采用雙階段結(jié)構(gòu)，以提高成功率和隱蔽性。早期攻擊主要針對(duì)奧地利用戶。受害者會(huì)先收到偽裝成折扣消息或獎(jiǎng)勵(lì)通知的短信，短信中附有縮短鏈接，引導(dǎo)用戶進(jìn)入偽造的 Google Play 頁(yè)面并下載偽造的 Penny Market 應(yīng)用。這款應(yīng)用實(shí)際上是一個(gè) dropper，會(huì)要求啟用“安裝未知應(yīng)用”權(quán)限，然后從攻擊者的指揮控制服務(wù)器下載真正的 Albiriox 主體程序，以完全繞過 Google Play 的安全檢測(cè)機(jī)制。隨著攻擊手法的演變，新的投放方式已經(jīng)加入 WhatsApp 誘導(dǎo)流程，用戶必須輸入手機(jī)號(hào)才能獲得下載鏈接，從而使攻擊更有區(qū)域針對(duì)性，尤其集中在奧地利地區(qū)。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！