Visame pasaulyje fiksuojama didelė mobiliųjų įrenginių atakų banga, nukreipta į bankų programėles ir kriptovaliutų pinigines. Saugumo analitikai praneša, kad nauja kenkėjiška programa „Albiriox RAT“ jau geba apeiti apsaugos sistemas, perimti telefonų valdymą ir pavogti prisijungimo duomenis. Kadangi ji atakuoja daugiau nei 400 finansinių programėlių, rizika aktuali ir Lietuvos gyventojams, ypač naudojantiems mobiliąją bankininkystę ar kriptovaliutų paslaugas.
Naujos kartos kenkėjiška programa – platinama kaip „paslauga“
„Cleafy“ ekspertai nustatė, kad „Albiriox“ – tai pažangi „Android“ kenkėjiška programa, platinama kaip mokama paslauga. Kitaip tariant, ją gali išsinuomoti bet kuris sukčius ir panaudoti atakoms prieš konkrečius vartotojus ar bankus. Tyrėjai teigia, kad tai greitai tobulėjantis projektas, siejamas su Rusijos kibernetinių grupuočių veikla.
Kenkėjiška programa įdiegiama per netikras aplikacijas, kurios apsimeta prekybos centrų, pasiūlymų, žaidimų ar net bankų programėlėmis. Jos įtaiso į telefoną vadinamąjį „dropperį“, kuris apeina antivirusines sistemas ir pats įdiegia tikrąjį virusą. Tikslas – perimti pilną įrenginio kontrolę ir nepastebimai išgauti vartotojo duomenis.
Tokie scenarijai jau buvo fiksuoti Lietuvoje, kai sukčiai siuntė SMS ar „Messenger“ žinutes su netikromis nuorodomis, vedančiomis į padirbtus „Google Play“ puslapius.
Kaip veikia ataka: realaus laiko įrenginio valdymas
„Albiriox“ jungia dvi labai pavojingas technikas.
Pirma, ji turi VNC modulį, leidžiantį užpuolikui realiu laiku matyti telefono ekraną ir valdyti įrenginį tarsi laikytų jį rankose.
Antra, ji vykdo perdengimo (overlay) atakas – ant banko programėlės rodoma netikra forma ar sistemos langas, prašantis suvesti prisijungimo duomenis arba patvirtinti operaciją.
Tokiu būdu sukčiai gali matyti PIN kodus, slaptažodžius, patvirtinti pavedimus ir prieiti prie kriptovaliutų piniginių, net jei vartotojas pats nieko neįtaria.
Kodėl „Albiriox“ pavojingesnė nei ankstesni virusai?
Pagrindinė naujovė – vadinamasis „AcVNC“ mechanizmas. Jis išnaudoja „Android“ prieinamumo (Accessibility) funkcijas, kurios buvo sukurtos žmonėms su negalia. Šios paslaugos gali skaityti tekstą ekrane, atpažinti elementus ir vykdyti veiksmus net tose aplikacijose, kurios saugomos nuo ekranų fiksavimo.
Tai reiškia, kad net jei banko programėlė yra apsaugota FLAG_SECURE funkcija ir ekranas turėtų būti nematomas, „Albiriox“ vis tiek sugeba matyti pilną sąsają ir valdyti ją kaip vartotojas.
Praktikoje tai leidžia sukčiams atlikti banko pervedimus, išgryninti lėšas ar konvertuoti kriptovaliutas vartotojui net nepastebint.
Kaip virusas plinta?
2025 m. rugsėjį virusas pirmą kartą pasirodė pogrindžio forumuose, o spalį tapo viešai nuomojamas už maždaug 650 dolerių per mėnesį.
Platinimo būdai nuolat tobulinami:
• kuriami netikri „Google Play“ puslapiai, pavyzdžiui, apsimetant lietuvišku prekybos tinklu,
• vartotojas prašomas įvesti telefono numerį, o užpuolikai gaunami duomenys siunčiami per „Telegram“ robotus,
• virusas įdiegiant prašo suteikti pavojingus leidimus, dažniausiai susijusius su prieinamumu.
Kadangi tokie metodai dažnai imituoja realius puslapius, vartotojai Lietuvoje taip pat patenka į rizikos zoną.
Kas atakuojama?
„Albiriox“ seka daugiau nei 400 programėlių, tarp jų:
- bankai,
- fintech paslaugos,
- kriptovaliutų keityklos,
- skaitmeninės piniginės.
Tai reiškia, kad kenkėjiška programa sukurta globalioms atakoms, nepriklausomai nuo konkrečios šalies. Todėl Lietuvos vartotojai, naudojantys mobiliąją bankininkystę, taip pat gali būti potencialūs taikiniai.
Ką turi žinoti Lietuvos vartotojai?
Nors Lietuvoje saugumas bankų sektoriuje yra aukštas, mobiliųjų įrenginių atakos dažniausiai vyksta ne per bankų sistemas, o per pačių vartotojų klaidas – parsisiųstas netikras programėles, suteiktus leidimus ar įdiegtą kenkėjišką failą.
Ekspertai rekomenduoja:
- niekada nesisiųsti programėlių iš SMS, „Messenger“ ar el. pašto nuorodų;
- tikrinti, ar programėlė tikra – atsisiųsti tik iš oficialios „Google Play“ parduotuvės;
- nesuteikti prieinamumo leidimų neaiškioms programoms;
- stebėti, ar telefonas nepereikliai neprašo papildomų leidimų po įdiegimo;
- naudoti antivirusines apsaugas ir aktyvuoti dviejų faktorių autentifikavimą.
Jei telefonas pradėjo veikti neįprastai, pats įdiegė nežinomą programą ar rodo įtartinus langus, reikėtų kuo greičiau atlikti pilną sistemos patikrą ir informuoti banką.
Galutinė žinutė Lietuvai
„Albiriox RAT“ yra vienas pažangiausių pastarųjų metų mobiliųjų įrenginių virusų. Jis veikia tyliai, apeina tradicines apsaugas ir gali išnaudoti vartotojo banko ar kriptovaliutų paskyras net jam nepastebint.
Tai priminimas, kad kibernetinis saugumas prasideda ne nuo bankų serverių, o nuo mūsų telefonų.
