تهدید سایبری جدید: محققان امنیتی Cleafy از کشف یک بدافزار جدید برای دستگاههای Android به نام Albiriox خبر دادهاند که از مدل «بدافزار بهعنوانخدمت» (MaaS) برای ارائه طیف گستردهای از قابلیتها، شامل فریبکاری در دستگاه، دستکاری صفحه نمایش و کنترل از راه دور گوشیهای آلوده استفاده میکند. این بدافزار با هدف سرقت اطلاعات حساس کاربران طراحی شده است.
ویژگیهای کلیدی Albiriox: این بدافزار لیست از پیش تعیینشدهای بیش از ۴۰۰ برنامه را شامل میشود که بانکها، فینتکها، پردازندههای پرداخت، صرافیهای ارز دیجیتال، کیف پولهای الکترونیکی و پلتفرمهای معاملاتی را هدف قرار میدهند. Albiriox با استفاده از روشهای مختلفی نظیر برنامههای «dropper» و تکنیکهای بستهبندی (packing) اقدام به دور زدن سیستمهای تشخیص استاتیک میکند.
نحوه عملکرد و تبلیغات: این بدافزار در ابتدا در اواخر سپتامبر 2025 به صورت محدود تبلیغ میشد، اما سپس به یک سرویس MaaS تبدیل شد. شواهد نشاندهنده روسیالسودن بودن توسعهدهندگان این بدافزار است که فعالیتهایشان در انجمنهای سایبری مشهود است.
ابزارهای پیشرفته برای نفوذ: Albiriox به مشتریان بالقوه دسترسی به یک ابزار سازنده (builder) سفارشی میدهد که ادعا شده با سرویس رمزنگاری شخص ثالث Golden Crypt یکپارچه شده تا از آنتیویروسها و راهکارهای امنیتی موبایل عبور کند. این بدافزار از اتصال TCP بدون رمزگذاری برای کنترل و فرماندهی (C2) استفاده میکند، که به مجرمان اجازه میدهد دستگاه را با استفاده از VNC (Virtual Network Computing) کنترل کرده، اطلاعات حساس را استخراج کنند، صفحات نمایش سیاه یا خالی را ارائه دهند و حجم صدا را تنظیم کنند.
دور زدن محافظتهای اندروید: Albiriox از یک ماژول دسترسی از راه دور مبتنی بر VNC استفاده میکند که به مجرمان اجازه میدهد تا با تلفنهای آلوده تعامل داشته باشند. یکی از روشهای این تعامل مبتنی بر VNC، استفاده از سرویسهای قابلیت دسترسی Android برای نمایش تمام عناصر رابط کاربری و قابلیت دسترسی موجود در دستگاه است. این امر به منظور دور زدن محدودیتهای محافظت FLAG_SECURE انجام میشود که معمولاً توسط برنامههای بانکی و ارز دیجیتال برای جلوگیری از ضبط صفحه نمایش فعال میشود.
حملات لایهای و سرقت اعتبار: شبیه سایر تروجانهای بانکداری مبتنی بر Android، Albiriox از حملات «لایهگذاری» (overlay attacks) علیه لیست هدفدار شده از برنامهها برای سرقت نام کاربری و رمز عبور استفاده میکند. همچنین میتواند صفحات نمایش جعلی سیستم آپدیت یا صفحه سیاه ارائه دهد تا فعالیتهای مخرب را در پسزمینه انجام دهد.
یک تهدید جدی: Cleafy معتقد است که Albiriox تمام ویژگیهای اصلی بدافزارهای مدرن فریبکاری در دستگاه (ODF) را نشان میدهد، از جمله کنترل از راه دور مبتنی بر VNC، اتوماسیون مبتنی بر قابلیت دسترسی، لایههای هدفمند و جمعآوری اعتبار پویا. این قابلیتها به مجرمان اجازه میدهند تا با عملکرد مستقیم در جلسات معتبر قربانی، مکانیزمهای احراز هویت و تشخیص تقلب سنتی را دور بزنند.
ظهور RadzaRat: این افشاگری همزمان با ظهور ابزار MaaS دیگری برای Android به نام RadzaRat است که خود را جایگزین یک ابزار کاربردی مدیریت فایل معرفی میکند، اما پس از نصب قابلیتهای گسترده نظارتی و کنترل از راه دور را آزاد میکند. این ابزار در نوامبر 2025 در یک فروم سایبری معرفی شد.
دمکراتیزه شدن جرایم سایبری: توسعهدهنده RadzaRat، با نام مستعار «Heron44»، این ابزار را به عنوان یک راه حل دسترسی از راه دور آسان و قابل استفاده برای افرادی با دانش فنی کم تبلیغ کرده است. این استراتژی توزیع نشان دهنده دمکراتیزه شدن نگران کننده ابزارهای سایبری است.
پایداری بدافزار: RadzaRat برای اطمینان از پایداری خود، از مجوزهای RECEIVE_BOOT_COMPLETED و RECEIVE_LOCKED_BOOT_COMPLETED به همراه یک کامپوننت BootReceiver استفاده میکند تا در هنگام راهاندازی مجدد دستگاه بهطور خودکار اجرا شود. علاوه بر این، درخواست مجوز REQUEST_IGNORE_BATTERY_OPTIMIZATIONS برای جلوگیری از محدودیت فعالیت پسزمینه آن توسط ویژگیهای بهینهسازی باتری Android انجام میشود.
تهدیدات دیگر: همچنین گزارشهایی مبنی بر توزیع بدافزار BTMOB اندروید و یک ماژول پایداری تحت عنوان UASecurity Miner از طریق صفحات فرود جعلی فروشگاه Google Play برای برنامهای به نام “GPT Trade” منتشر شده است. این بدافزار با استفاده از سرویسهای قابلیت دسترسی، دستگاهها را باز میکند، کلیدها را ثبت میکند، از طریق تزریق اعتبارنامهها سرقت اطلاعات را خودکار کرده و کنترل از راه دور را فعال میکند.
توصیهها: کاربران باید مراقب لینکها و برنامههای مشکوک باشند و سیستم عامل و نرمافزارهای خود را بهروز نگه دارند. سازمانها نیز باید اقدامات امنیتی خود را تقویت کنند تا در برابر این تهدیدات سایبری جدید محافظت شوند.
📌 توجه: این مطلب از منابع بینالمللی ترجمه و بازنویسی شده است.