На подпольных хакерских форумах появился новый банковский троян для Android под названием Albiriox, обнаруженный аналитиками компании Cleafy. Вредонос продвигается русскоязычными киберпреступниками по схеме Malware-as-a-Service (MaaS, «вредонос как услуга»), что значительно упрощает его использование даже для относительно неискушенных злоумышленников.
Модель распространения: вредонос как услуга (MaaS)
По данным исследователей, Albiriox был анонсирован в конце сентября 2025 года, а уже в октябре разработчики перешли к полноценной коммерческой модели. Месячная «подписка» на использование трояна стоит около 720 долларов США. В такую подписку обычно входят доступ к панели управления, обновления и техническая поддержка операторов малвари.
Подобная MaaS-модель давно применяется в экосистеме банковских троянов для Android: авторы вредоноса монетизируют свои разработки, а распространением и конкретными атаками занимаются «арендаторы» — финансово мотивированные группы и одиночные злоумышленники. Это приводит к быстрому масштабированию кампаний и появлению множества параллельных атак, использующих один и тот же инструмент.
Цели Albiriox: более 400 финансовых и игровых приложений
Анализ Cleafy показал, что Albiriox нацелен более чем на 400 приложений по всему миру. В список входят банковские и финансовые приложения, кошельки и биржи криптовалют, трейдинговые и инвестиционные платформы, платежные сервисы, а также популярные игровые приложения.
Такая широта охвата позволяет говорить о типичном Android-банкере нового поколения, ориентированном на on-device мошенничество — проведение незаконных операций непосредственно с устройства жертвы, внутри ее легитимных сессий и приложений. Это затрудняет обнаружение атак традиционными антифрод-системами, которые ориентируются, в том числе, на аномальное поведение с необычных устройств или IP-адресов.
Сценарии заражения: фишинговые SMS, поддельный Google Play и WhatsApp
Первая волна атак: подделка магазина приложений и бренда супермаркета
По данным исследователей, одна из первых крупных кампаний с использованием Albiriox была нацелена на жителей Австрии. Пользователям приходили фишинговые SMS на немецком языке с ссылкой на поддельную страницу Google Play Store, маскирующуюся под мобильное приложение сети супермаркетов Penny.
На поддельном сайте предлагалось скачать APK-файл напрямую. Файл загружался не из официального магазина Google Play, а с инфраструктуры, контролируемой злоумышленниками. Таким образом, пользователи вручную устанавливали стороннее приложение-дроппер, открывая доступ для дальнейшего заражения.
Обновленная схема: сбор номеров и доставка ссылки через WhatsApp
После первой волны атак фишинговая инфраструктура была доработана. Теперь целевая страница не выдает APK напрямую, а предлагает ввести номер мобильного телефона. Обещается, что ссылка на скачивание «приложения» будет выслана через WhatsApp.
Сайт принимает только австрийские телефонные номера, а введенные данные автоматически пересылаются в Telegram-бот, управляемый злоумышленниками. Это позволяет им точечно атаковать конкретных жертв, а также при необходимости повторно выходить на контакт.
Технические возможности Albiriox: полный контроль над устройством
Удаленный доступ через VNC и скрытие активности
После установки дроппера, который маскируется под системное обновление, у пользователя запрашиваются расширенные разрешения, включая право установки приложений из неизвестных источников. На этом этапе загружается основной модуль трояна.
Исследователи отмечают, что Albiriox внедряет удаленный доступ на базе VNC, позволяющий операторам управлять смартфоном жертвы в реальном времени. Злоумышленники могут совершать платежные операции, подтверждать переводы, изменять настройки безопасности, а также:
- похищать конфиденциальные данные и одноразовые коды;
- отображать «пустой» или черный экран, скрывая активность;
- отключать звук, чтобы жертва не заметила подозрительных уведомлений.
Использование Accessibility services и обход FLAG_SECURE
Одна из версий механизма удаленного доступа опирается на Accessibility services в Android, которые предназначены для помощи пользователям с особыми потребностями, но часто злоупотребляются вредоносами.
Благодаря этому Albiriox получает полное представление о пользовательском интерфейсе и может обходить защитный флаг FLAG_SECURE, применяемый банковскими и криптовалютными приложениями для блокировки записи экрана. Это критично: злоумышленники видят то, что обычно остается скрытым даже от легитимных средств удаленной поддержки.
Оверлей-атаки и динамический перехват данных
Как и другие банковские трояны для Android, Albiriox активно использует оверлей-атаки: поверх легитимных приложений отображаются фальшивые экраны авторизации и подтверждения операций. Жертва вводит логин, пароль, PIN-код или одноразовый код, не подозревая, что данные перехватываются.
Троян может имитировать интерфейс системных обновлений, показывать фиктивные формы входа в банк или вовсе выводить черный экран во время проведения мошеннических действий в фоне. Это делает злоумышленников менее заметными и усложняет ручное выявление атаки пользователем.
Обход защитных решений и шифрование Golden Crypt
Для клиентов Albiriox предлагается кастомизируемый билдер вредоносных сборок, интегрированный со сторонним сервисом шифрования Golden Crypt. Подобные крипторы меняют структуру и сигнатуры исполняемых файлов, помогая трояну обходить статическое сигнатурное обнаружение антивирусами и решениями для мобильной безопасности.
В сочетании с динамическими техниками, затачиванием оверлеев под конкретные приложения и использованием легитимных системных функций Android это делает Albiriox типичным примером современного инструмента on-device мошенничества.
Согласно выводам Cleafy, троян объединяет ключевые элементы актуальных Android-банкеров: удаленное управление через VNC, автоматизацию с помощью Accessibility services, таргетированные оверлей-экраны и динамический перехват учетных данных. Это дает злоумышленникам возможность обходить традиционные механизмы аутентификации и антифрода, действуя прямо в рамках легитимной сессии пользователя.
На фоне появления таких решений критически важно уделять внимание базовой гигиене кибербезопасности: не устанавливать приложения из ссылок в SMS и мессенджерах, проверять подлинность сайтов и источников загрузки, отключать установку из неизвестных источников, регулярно обновлять систему и использовать надежные средства защиты. Организациям — особенно финансовым — следует учитывать сценарии on-device мошенничества в своих моделях угроз и дополнять классические методы антифрода поведенческими и контекстными механизмами обнаружения.
