Prosegue senza sosta la minaccia informatica rivolta ai dispositivi Android, con la recente emergenza del malware Albiriox.
Prosegue senza sosta la minaccia informatica rivolta ai dispositivi Android, con la recente emergenza del malware Albiriox, una nuova e sofisticata famiglia di software malevoli che sta rapidamente guadagnando terreno nel panorama della criminalità digitale. Gli esperti di sicurezza informatica avvertono che questa minaccia, di origine russa, è progettata per eseguire frodi finanziarie di grande portata, sfruttando tecniche avanzate per ottenere il controllo totale dello smartphone della vittima e bypassare anche i sistemi di sicurezza più evoluti.
Malware Android Albiriox: caratteristiche e modalità di diffusione
Il malware Albiriox è stato individuato dai ricercatori di Cleafy, azienda specializzata in sicurezza digitale, che hanno evidenziato come si tratti di un’operazione strutturata secondo il modello Malware-as-a-Service (MaaS). Questo significa che il software viene offerto come un servizio a pagamento: gli hacker, principalmente di origine russa, hanno sviluppato un vero e proprio kit completo che altri criminali informatici possono noleggiare per compiere attività fraudolente.
L’infezione da Albiriox ha inizio quasi sempre con l’invio di un SMS contenente un link abbreviato — spesso corredato da messaggi ingannevoli che promettono sconti o premi — che reindirizza la vittima verso una pagina web contraffatta, molto simile al Google Play Store. A questo punto, viene installata una cosiddetta app Dropper, che si presenta come un’app legittima (in alcune campagne, ad esempio in Australia, è stata mascherata da una falsa applicazione di Penny Market), e richiede autorizzazioni particolari come l’installazione di app da fonti sconosciute.
Una volta ottenuti i permessi, il Dropper scarica il vero payload di Albiriox da un server di Command and Control (C2), attivando il malware vero e proprio all’interno del dispositivo. La sofisticazione di Albiriox risiede anche nell’uso di tecniche avanzate di offuscamento del codice, come l’impiego di Golden Crypt, un servizio di crittografia di terze parti che rende quasi invisibile il malware ai tradizionali antivirus statici. A questo si aggiungono ulteriori stratagemmi come JSONPacker e una distribuzione a due stadi, che complicano drasticamente l’analisi tecnica da parte degli specialisti.
Uno degli aspetti più allarmanti di Albiriox è la sua capacità di sfruttare i Servizi di Accessibilità di Android, consentendo agli hacker un completo controllo remoto sul dispositivo della vittima. Al centro dell’operazione vi è un modulo di Virtual Network Computing (VNC) che consente lo streaming in tempo reale dello schermo dello smartphone, permettendo ai criminali di interagire con le app bancarie, portafogli di criptovalute e servizi di pagamento proprio come se avessero fisicamente il dispositivo in mano.
Questa modalità di attacco rende possibile bypassare sistemi di sicurezza avanzati come l’autenticazione a due fattori e i sistemi biometrici (impronte digitali, riconoscimento facciale), elementi che fino a poco tempo fa garantivano un livello di protezione elevato. Inoltre, durante l’esecuzione delle transazioni fraudolente, lo schermo dello smartphone della vittima può apparire completamente nero, impedendo così qualsiasi tentativo di intercettazione visiva da parte dell’utente.
