Albiriox - новый троянец для Android, нацеленный на глобальные финансы и криптокошельки

Аналитики компании Cleafy обнаружили и изучили новое вредоносное ПО для Android под названием Albiriox. Этот троянец, ориентированный на кражу финансовых средств, позиционируется как «вредоносное ПО как услуга» (MaaS, Malware-as-a-Service) и уже демонстрирует признаки активной разработки. По данным исследователей, операция, вероятно, управляется русскоязычными злоумышленниками. Угроза сочетает в себе функции удаленного доступа и фишинговые атаки с помощью наложения, представляя серьезную опасность для пользователей по всему миру.

Описание

Первые следы Albiriox появились в конце сентября 2025 года в закрытых Telegram-каналах и на русскоязычных форумах киберпреступников. Изначально доступ к бета-версии предоставлялся только избранным участникам с высокой репутацией. Однако уже в октябре троянец перешел в статус публичного MaaS-сервиса с помесячной подпиской. Модель распространения «как услуга» значительно снижает порог входа для менее опытных преступников, что может привести к быстрому росту числа атак.

Для доставки вредоносного кода злоумышленники используют многоступенчатую схему. Жертвы получают SMS с сокращенными ссылками, ведущими на фишинговые страницы. Эти страницы имитируют, например, магазин Google Play, предлагая установить легальное приложение, такое как приложение сети магазинов Penny Market в Австрии. На самом деле пользователь скачивает дроппер - программу-установщик. При запуске дроппер с помощью социальной инженерии вынуждает пользователя предоставить разрешение на установку из неизвестных источников, после чего загружает основной вредоносный модуль Albiriox.

Технический анализ выявил широкие возможности троянца. Его основная функция - полный удаленный контроль над устройством через VNC-соединение. Это позволяет оператору в реальном времени видеть экран жертвы и взаимодействовать с интерфейсом, например, нажимать кнопки или вводить текст. Для обхода защиты FLAG_SECURE, которую используют банковские приложения для блокировки записи экрана, Albiriox задействует службы специальных возможностей Android. В результате злоумышленник получает детальное представление об интерфейсе даже защищенных приложений.

Второй ключевой механизм - это атаки с помощью наложения (overlay attack). Троянец способен показывать поверх других окон фишинговые экраны, маскирующиеся под системное обновление, черный экран или интерфейсы целевых приложений. Цель - похитить учетные данные, такие как логины, пароли или сид-фразы кошельков. В коде Albiriox жестко прописан список из более чем 400 целевых приложений по всему миру. В этот список входят традиционные банки, финтех-компании, платежные системы, криптобиржи и кошельки.

Все это делает Albiriox инструментом для так называемого мошенничества на устройстве (On-Device Fraud). Злоумышленник, получив полный контроль, может самостоятельно инициировать и подтверждать транзакции прямо в легальном банковском приложении жертвы, обходя многие двухфакторные методы аутентификации. Для связи с командным центром троянец использует незашифрованное TCP-соединение, отправляя детальную информацию об устройстве и получая команды в формате JSON.

Важно отметить, что разработчики Albiriox уделяют внимание и скрытности. В рамках MaaS-пакета они предлагают собственный конструктор, интегрированный со службой обфускации Golden Crypt. Это указывает на стремление сделать троянец максимально незаметным для статических антивирусных сканеров. Эксперты Cleafy предупреждают, что Albiriox, несмотря на свою новизну, воплощает в себе все ключевые тенденции современного мобильного вредоносного ПО. Его публичная модель распространения и активное развитие свидетельствуют о растущей угрозе для частных и корпоративных пользователей по всему миру. Защита требует комплексного подхода, включающего осторожность при переходе по ссылкам, установку приложений только из официальных магазинов и использование современных решений для мобильной безопасности.