Μια νέα, εξαιρετικά επικίνδυνη απειλή στον κυβερνοχώρο έχει σημάνει συναγερμό στις αρχές ασφαλείας παγκοσμίως, στοχεύοντας απευθείας το πορτοφόλι των χρηστών Android. Πρόκειται για το κακόβουλο λογισμικό (malware) με την ονομασία Albiriox, το οποίο δεν αρκείται στην απλή υποκλοπή κωδικών, αλλά αναλαμβάνει τον πλήρη έλεγχο της συσκευής του θύματος, πραγματοποιώντας συναλλαγές κάτω από τη μύτη του.

Σύμφωνα με πρόσφατη ανάλυση της εταιρείας κυβερνοασφάλειας Cleafy, το Albiriox σηματοδοτεί μια ανησυχητική εξέλιξη στο ηλεκτρονικό έγκλημα, καθώς λειτουργεί ως «Δούρειος Ίππος» νέας γενιάς.

Πώς λειτουργεί η απάτη: Η παγίδα του ψεύτικου Google Play

Η μέθοδος μόλυνσης είναι ύπουλη και βασίζεται στην κοινωνική μηχανική (social engineering). Οι κυβερνοεγκληματίες δεν προσπαθούν να «χακάρουν» τη συσκευή με τεχνικά μέσα εξ αρχής, αλλά πείθουν τον χρήστη να ανοίξει την κερκόπορτα μόνος του.

Η παραπλάνηση: Ο χρήστης λαμβάνει συνήθως ένα μήνυμα (SMS ή email) που περιέχει έναν σύνδεσμο για τη λήψη μιας εφαρμογής. Η ψεύτικη βιτρίνα: Ο σύνδεσμος οδηγεί σε μια ιστοσελίδα που είναι πιστό αντίγραφο του επίσημου Google Play Store. Εκεί, καλείται να κατεβάσει μια φαινομενικά αθώα εφαρμογή (συχνά οικονομικής φύσεως ή εργαλείο συστήματος). Η εγκατάσταση: Επειδή η εφαρμογή είναι εκτός του επίσημου καταστήματος (sideloading), το κινητό ζητά άδεια για «εγκατάσταση από άγνωστες πηγές». Μόλις ο χρήστης δώσει την έγκριση, το Albiriox εγκαθίσταται.

Ο τεχνικός εφιάλτης: Πλήρης έλεγχος εξ αποστάσεως

Αυτό που κάνει το Albiriox να ξεχωρίζει από τα συνηθισμένα banking trojans είναι η δυνατότητά του να λειτουργεί ως RAT (Remote Access Trojan). Μόλις ενεργοποιηθεί, ζητά πρόσβαση στις «Υπηρεσίες Προσβασιμότητας» (Accessibility Services) του Android. Αν ο χρήστης πατήσει «Αποδοχή», το παιχνίδι έχει χαθεί.

Το λογισμικό αποκτά τη δυνατότητα να:

Βλέπει την οθόνη του χρήστη σε πραγματικό χρόνο.

Πραγματοποιεί κλικ και κινήσεις (gestures) σαν να κρατάει κάποιος φυσικά το κινητό.

σαν να κρατάει κάποιος φυσικά το κινητό. Υποκλέπτει κωδικούς 2FA (Two-Factor Authentication) και SMS επιβεβαίωσης.

Το πιο τρομακτικό χαρακτηριστικό του είναι η δυνατότητα να μαυρίζει την οθόνη του θύματος ή να εμφανίζει ψεύτικα μηνύματα «ενημέρωσης συστήματος», ενώ στο παρασκήνιο οι εγκληματίες αδειάζουν τους τραπεζικούς λογαριασμούς ή τα κρυπτονομίσματα, χωρίς ο χρήστης να βλέπει τι συμβαίνει. Αυτή η τακτική ονομάζεται ODF (On-Device Fraud).

Γιατί τα antivirus δυσκολεύονται να το εντοπίσουν;

Το Albiriox είναι σχεδιασμένο να παρακάμπτει τα μέτρα ασφαλείας. Μιμείται πάνω από 400 νόμιμες εφαρμογές τραπεζών και κρυπτονομισμάτων, ενώ χρησιμοποιεί τεχνικές απόκρυψης για να μην γίνεται αντιληπτό από το λογισμικό προστασίας της συσκευής. Επιπλέον, επειδή οι συναλλαγές γίνονται από την ίδια τη συσκευή του χρήστη, τα συστήματα ασφαλείας των τραπεζών συχνά δεν τις αναγνωρίζουν ως ύποπτες, καθώς βλέπουν μια «έγκυρη» συσκευή και μια «έγκυρη» σύνδεση.

Πώς να προστατευτείτε

Η προστασία από τέτοιου είδους απειλές απαιτεί κυρίως προσοχή και αλλαγή συνηθειών: