Albiriox MaaS Zararlısı: 400’den Fazla Mobil Uygulamayı Hedefleyen Gelişmiş Dolandırıcılık Aracı

Anasayfa » Albiriox MaaS Zararlısı: 400’den Fazla Mobil Uygulamayı Hedefleyen Gelişmiş Dolandırıcılık Aracı
Mobil Güvenlik, Siber Tehditler, Zararlılar
Aralık 3, 2025Aralık 3, 2025Tarafından Cybernews.TR
0
Albiriox MaaS Zararlısı: 400’den Fazla Mobil Uygulamayı Hedefleyen Gelişmiş Dolandırıcılık Aracı

Saldırının Genel Çerçevesi

Albiriox, Eylül 2025 sonlarında sınırlı bir işe alım aşamasıyla ortaya çıktıktan sonra, kısa süre içinde MaaS hizmeti olarak siber suç forumlarında yaygınlaştı. Zararlı, bankacılık, finansal teknoloji, ödeme sistemleri, kripto para borsaları ve dijital cüzdanlar gibi kritik sektörlerde kullanılan 400’den fazla uygulamayı hedefleyen sabit kodlu bir listeyi içeriyor. Bu kapsamlı hedefleme, dolandırıcılık faaliyetlerinin doğrudan mobil cihazlar üzerinden yürütülmesini sağlıyor.

Dağıtımda sosyal mühendislik yöntemleri kullanılıyor; özellikle Avusturya’da Almanca tuzaklar ve sahte Google Play Store sayfalarına yönlendiren SMS kampanyaları dikkat çekiyor. Kullanıcılar, sahte sayfalardaki “Yükle” butonuna tıkladığında dropper APK yükleniyor ve uygulama izinleri aracılığıyla ana zararlı cihazda aktif hale geliyor.

Saldırı Zinciri ve Teknik Detaylar

Albiriox, paketleme teknikleriyle statik tespitten kaçınan dropper uygulamalar kullanıyor. Komut ve kontrol (C2) iletişimi için şifrelenmemiş TCP soket bağlantısı tercih ediliyor. Bu sayede tehdit aktörleri, Virtual Network Computing (VNC) protokolü üzerinden cihazı uzaktan kontrol edebiliyor; ekranı siyah veya boş göstermek, ses seviyesini değiştirmek ve hassas verileri çıkarmak gibi işlemler gerçekleştirilebiliyor.

Zararlının önemli bir özelliği, Android erişilebilirlik servislerini kullanarak ekran görüntüleme kısıtlamalarını aşmasıdır. FLAG_SECURE bayrağı aktif olan bankacılık ve kripto para uygulamalarında ekran kaydı ve görüntüleme engellense bile, Albiriox erişilebilirlik tabanlı yayın mekanizmasıyla kullanıcı arayüzünü tam olarak görebiliyor. Bu teknik, MITRE ATT&CK’te T1566 (Phishing) ve T1212 (Exploitation of Accessibility Features) tekniklerine paralel bir yaklaşım sergiliyor.

Örtü saldırıları ve sahte sistem güncelleme bildirimleriyle kullanıcı izinleri alınıyor, böylece zararlı arka planda fark edilmeden çalışabiliyor. Ayrıca, PENNY Angebote & Coupons gibi sahte uygulamalarla Avusturya’daki hedeflere yönelik SMS tabanlı dağıtımda telefon numaralarının Telegram botlarına aktarıldığı gözlemlendi.

RadzaRat: Benzer Bir MaaS Tehdidi

Albiriox’un ortaya çıkışıyla aynı dönemde, RadzaRat adlı başka bir Android MaaS aracı da tespit edildi. RadzaRat, dosya sistemi erişimi, tuş kaydı ve Telegram tabanlı C2 iletişimi gibi özelliklerle öne çıkıyor. Zararlı, cihaz yeniden başlatıldığında otomatik başlatma için RECEIVE_BOOT_COMPLETED izinlerini kullanıyor ve Android pil optimizasyonlarından muaf tutuluyor. Bu da kalıcılık ve arka plan faaliyetlerini kolaylaştırıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Mobil cihazlarda şüpheli uygulama yüklemelerini engellemek için uygulama izinlerini sıkı yönetin.
  • EDR ve SIEM sistemlerinde VNC ve erişilebilirlik servisleri üzerinden gelen anormal bağlantı ve komutları izleyin.
  • SMS tabanlı kimlik avı kampanyalarına karşı e-posta ve mesaj güvenliği çözümlerini entegre edin.
  • Mobil cihazlarda FLAG_SECURE gibi ekran koruma mekanizmalarının etkinliğini düzenli test edin.
  • Uygulama mağazası dışı kaynaklardan gelen APK dosyalarının yüklenmesini engellemek için mobil uygulama yönetimi (MAM) politikaları uygulayın.
  • Kimlik doğrulama için çok faktörlü kimlik doğrulama (MFA) ve Zero Trust prensiplerini benimseyin.
  • Olay müdahale süreçlerinde mobil tehditlere yönelik özel prosedürler geliştirin ve tatbikatlar yapın.

Teknik Özet

  • Zararlı Araçlar: Albiriox MaaS, RadzaRat RAT, BTMOB Android zararlısı, UASecurity Miner modülü.
  • Hedef Sektörler: Bankacılık, finansal teknoloji, ödeme işlemcileri, kripto para borsaları, dijital cüzdanlar.
  • Bölgesel Odak: Avrupa, özellikle Almanca konuşulan bölgeler ve Avusturya.
  • Saldırı Zinciri: SMS tabanlı phishing → sahte Google Play Store sayfası → dropper APK yüklemesi → izinlerle ana zararlı dağıtımı → VNC tabanlı uzaktan kontrol.
  • Teknik Özellikler: Paketleme ve şifreleme (Golden Crypt), erişilebilirlik servisleri kullanımı, TCP soket C2, Telegram bot entegrasyonu.
  • Önerilen Savunma: Mobil cihazlarda uygulama izinlerinin sıkı kontrolü, EDR ve SIEM ile anormal erişimlerin izlenmesi, MFA ve Zero Trust uygulamaları.

Albiriox ve benzeri MaaS zararlıları, mobil cihazlarda kimlik avı ve dolandırıcılık saldırılarının karmaşıklaşmasına neden oluyor. Bu nedenle, kurumların mobil güvenlik politikalarını güncellemeleri ve olay müdahale kapasitelerini güçlendirmeleri kritik önem taşıyor. Ayrıca, bulut güvenliği ve ağ segmentasyonu gibi önlemlerle mobil tehditlerin yayılımı sınırlandırılabilir.

, , , , , , ,