Ein neu aufgetauchter Android-Banking-Trojaner namens Albiriox sorgt derzeit in der Security-Community für Aufmerksamkeit. Nach Erkenntnissen der Sicherheitsfirma Cleafy wird die Malware auf russischsprachigen Underground-Foren als Malware-as-a-Service (MaaS) vermietet und senkt damit die Einstiegshürde für finanzmotivierte Angreifer erheblich.
Geschäftsmodell: Malware-as-a-Service für 720 US-Dollar im Monat
Albiriox wurde laut Analyse Ende September 2025 in Untergrundkreisen angekündigt und bereits im Oktober in ein vollwertiges MaaS-Abomodell überführt. Die monatliche Nutzung des Trojaners kostet rund 720 US-Dollar. In der Gebühr enthalten sind typischerweise Zugang zu einer webbasierten Management-Konsole, laufende Updates sowie technischer Support durch die Betreiber.
Dieses Geschäftsmodell folgt einem etablierten Trend im Bereich Android-Banking-Malware: Die Entwickler monetarisieren ihre Schadsoftware, während sogenannte „Kunden“ oder „Mieter“ die eigentlichen Angriffskampagnen durchführen. Vergleichbare Modelle sind aus Ransomware-Ökosystemen bestens bekannt. Sicherheitsberichte von Europol und ENISA beschreiben MaaS seit Jahren als zentralen Treiber für die Industrialisierung der Cyberkriminalität, da Kampagnen schneller skaliert und parallel betrieben werden können.
Zielapplikationen: Über 400 Banking-, Krypto- und Gaming-Apps
Die Analyse von Cleafy zeigt, dass Albiriox mehr als 400 Android-Apps weltweit ins Visier nimmt. Dazu zählen klassische Mobile-Banking-Anwendungen, FinTech-Apps, Wallets und Börsen für Kryptowährungen, Trading- und Investmentplattformen, Payment-Dienste sowie populäre Gaming-Apps.
Albiriox ist damit ein typischer Vertreter eines Android-Bankers der neuen Generation, der auf on-device Betrug spezialisiert ist: Transaktionen werden direkt auf dem kompromittierten Endgerät innerhalb legitimer Sitzungen und Apps der Opfer ausgelöst. Dieser Ansatz umgeht klassische Anti-Fraud-Mechanismen von Banken, die auffällige Logins von unbekannten Geräten oder ungewöhnlichen IP-Adressen erkennen sollen.
Infektionswege: Smishing, gefälschter Google Play Store und WhatsApp
Erste Kampagnenwelle in Österreich: Supermarkt-App als Köder
Eine der ersten beobachteten Kampagnen mit Albiriox richtete sich gegen Nutzer in Österreich. Opfer erhielten Phishing-SMS (Smishing) auf Deutsch, die auf eine gefälschte Google-Play-Seite verlinkten. Diese imitierte das mobile Angebot der Supermarktkette Penny.
Statt auf den offiziellen Play Store zu verweisen, bot die gefälschte Seite einen direkten Download eines APK-Pakets an. Nutzer, die das Paket manuell installierten, luden in Wahrheit einen Dropper von einer von den Angreifern kontrollierten Infrastruktur. Dieser Dropper dient als Einstiegspunkt, um den eigentlichen Banking-Trojaner nachzuladen.
Weiterentwickelte Taktik: Nummernerfassung und Zustellung per WhatsApp
In einer zweiten Angriffswelle passten die Betreiber die Phishing-Infrastruktur an. Die gefälschte Landing-Page stellt das APK nicht mehr direkt bereit, sondern fordert zur Eingabe der Mobilfunknummer auf. Die angebliche Download-URL werde anschließend über WhatsApp zugeschickt.
Der Webauftritt akzeptiert ausschließlich österreichische Telefonnummern. Die eingegebenen Daten werden automatisiert an einen von den Tätern gesteuerten Telegram-Bot übermittelt. Dieses Vorgehen ermöglicht gezielte Nachfassangriffe und eine präzisere Auswahl lohnender Opfer – ein typisches Merkmal professionell organisierter Cyberkriminalität.
Technische Fähigkeiten: Vollständige Kontrolle über das kompromittierte Gerät
VNC-Remote-Zugriff und Verschleierung der Aktivitäten
Nach der Installation tarnt sich der Dropper als System-Update und fordert erweiterte Berechtigungen an, darunter die Installation von Apps aus unbekannten Quellen. In diesem Schritt wird das Hauptmodul des Trojaners nachgeladen.
Albiriox setzt auf einen Remote-Zugriff über VNC, mit dem Angreifer das Smartphone des Opfers in Echtzeit fernsteuern können. So lassen sich Überweisungen auslösen, Zahlungen freigeben oder Sicherheitseinstellungen verändern. Zusätzlich kann die Malware:
- sensiblen Inhalt und Einmalcodes auslesen und exfiltrieren,
- den Bildschirm als „schwarz“ darstellen, während im Hintergrund Aktionen ausgeführt werden,
- Benachrichtigungstöne stumm schalten, um verdächtige Alerts zu verbergen.
Missbrauch von Accessibility Services und Umgehung von FLAG_SECURE
In mindestens einer Variante nutzt Albiriox massiv die Accessibility Services von Android. Diese Funktion soll eigentlich Menschen mit Einschränkungen unterstützen, wird aber seit Jahren von Banking-Trojanern missbraucht.
Über diesen Kanal erhält Albiriox ein nahezu vollständiges Bild der Benutzeroberfläche des Geräts und kann den von vielen Banking- und Krypto-Apps gesetzten Schutzmechanismus FLAG_SECURE umgehen, der eigentlich Screenshots und Screen-Recording verhindern soll. Für Angreifer ist dies besonders wertvoll, da sie so Inhalte sehen können, die selbst legitimen Remote-Support-Lösungen verborgen bleiben.
Overlay-Angriffe und dynamischer Diebstahl von Zugangsdaten
Wie andere moderne Android-Banking-Trojaner setzt auch Albiriox auf Overlay-Angriffe. Dabei legt die Malware gefälschte Anmelde- oder Bestätigungsfenster über legitime Apps. Gibt die betroffene Person Login-Daten, PIN oder Einmalpasswörter ein, werden diese direkt von der Malware abgegriffen.
Darüber hinaus kann Albiriox Systemdialoge wie Update-Benachrichtigungen imitieren oder einen komplett schwarzen Bildschirm anzeigen, während im Hintergrund betrügerische Transaktionen ausgeführt werden. Diese Techniken erschweren sowohl die manuelle Erkennung durch Nutzerinnen und Nutzer als auch die automatisierte Analyse durch Mobile-Security-Lösungen.
Umgehung von Sicherheitslösungen durch Golden-Crypt-Verschleierung
Für „Kunden“ des MaaS-Dienstes steht ein konfigurierbarer Builder zur Verfügung, der mit dem externen Verschleierungsdienst Golden Crypt integriert ist. Solche Cryptor-Dienste verändern Struktur und Signatur des Schadcodes, sodass signaturbasierte Antivirenlösungen und klassische Mobile-Security-Produkte die Malware deutlich schlechter erkennen.
In Kombination mit dynamischen Angriffstechniken, gezielt angepassten Overlays für konkrete Banking-Apps und dem Missbrauch legitimer Android-Funktionen ist Albiriox ein prototypischer Vertreter hochentwickelter on-device Fraud-Tools. Cleafy ordnet den Trojaner in eine Generation von Android-Bankern ein, die VNC-Fernsteuerung, Accessibility-Automatisierung, maßgeschneiderte Overlays und Credential-Abgriff in einem Werkzeug vereinen.
Der Aufstieg von Albiriox unterstreicht, wie wichtig grundlegende „Cyber-Hygiene“ im Alltag geworden ist: Apps sollten niemals über Links aus SMS oder Messengern installiert werden; Download-Quellen und Domains müssen sorgfältig geprüft werden. Die Installation aus unbekannten Quellen sollte standardmäßig deaktiviert, das Betriebssystem regelmäßig aktualisiert und eine vertrauenswürdige Mobile-Security-Lösung eingesetzt werden. Organisationen – insbesondere Banken, FinTechs und Payment-Dienstleister – sollten on-device Betrug explizit in ihre Bedrohungsmodelle aufnehmen und klassische Anti-Fraud-Verfahren um verhaltensbasierte und kontextbezogene Analysen ergänzen. Wer diese Entwicklungen ernst nimmt und Sicherheitsmaßnahmen laufend anpasst, reduziert das Risiko, dass Werkzeuge wie Albiriox zum erfolgreichen Angriff führen.
