На підпільних форумах російськомовного сегменту кіберзлочинного ринку з’явився новий банківський троян для Android під назвою Albiriox. За даними аналітиків компанії Cleafy, шкідливе ПЗ поширюється за моделлю Malware-as-a-Service (MaaS), що дає змогу навіть малодосвідченим зловмисникам запускати складні фінансові атаки проти користувачів мобільних застосунків.
Malware-as-a-Service: як монетизують Android-банкери
Albiriox був представлений на хакерських майданчиках наприкінці вересня 2025 року, а вже в жовтні оператори перейшли до повноцінної комерційної експлуатації. Місячна підписка на доступ до трояна коштує близько 720 доларів США і включає панель керування, оновлення та «техпідтримку» від розробників.
У MaaS-моделі автори трояна виступають сервіс-провайдерами, а атаки здійснюють їхні «орендарі» — фінансово мотивовані кіберзлочинні групи та окремі виконавці. Такий розподіл ролей прискорює масштабування кампаній і призводить до ситуації, коли десятки окремих атак використовують один і той самий банківський троян для Android, адаптуючи його під свої сценарії.
Цілі банківського трояна Albiriox: понад 400 фінансових і ігрових застосунків
За оцінкою Cleafy, Albiriox орієнтується більш ніж на 400 мобільних застосунків по всьому світу. У переліку цілей — мобільні банки, платіжні сервіси, криптовалютні гаманці та біржі, застосунки для трейдингу, інвестиційні платформи, а також популярні ігрові продукти, де зберігаються платіжні дані користувачів.
Троян належить до класу Android-банкерів нового покоління, які реалізують on-device шахрайство. Злочинці проводять операції безпосередньо з пристрою жертви, в межах її легальних сесій та авторизованих застосунків. Для класичних антифрод-систем, що покладаються на аналіз нових пристроїв, IP-адрес чи геолокації, такі атаки виглядають як «нормальна» активність користувача.
Сценарії зараження: фішингові SMS, підроблений Google Play і WhatsApp
Перша хвиля атак: фальшивий маркет та бренд супермаркету
Одна з перших зафіксованих кампаній з використанням Albiriox була спрямована на мешканців Австрії. Потенційним жертвам надходили фішингові SMS німецькою мовою з посиланням на підроблену сторінку Google Play Store, яка нібито пропонувала офіційний застосунок мережі супермаркетів Penny.
На фейковому сайті користувачам пропонували завантажити APK-файл безпосередньо, в обхід Google Play. Файл розміщувався на інфраструктурі, підконтрольній зловмисникам, і слугував дроппером — проміжним застосунком, через який на пристрій доставлявся основний модуль банківського трояна для Android.
Оновлена тактика: збирання номерів і доставка посилань через WhatsApp
Після першої хвилі атак фішингова інфраструктура була модифікована. Сучасна версія сайту більше не віддає APK-файл напряму, а просить ввести номер мобільного телефону з обіцянкою надіслати посилання на застосунок через WhatsApp.
Форма приймає лише австрійські номери, а отримані дані автоматично надсилаються до Telegram-бота, яким керують оператори трояна. Це дає змогу точково обирати жертв, повторно виходити на контакт та варіювати подальші сценарії соціальної інженерії.
Технічні можливості Albiriox: повний контроль над Android-пристроєм
Віддалений доступ через VNC та приховування активності
Після встановлення дроппер маскується під системне оновлення і запитує розширені дозволи, включно з правом інсталяції застосунків із невідомих джерел. На цьому етапі завантажується основний модуль Albiriox, який впроваджує віддалений доступ до смартфона на базі VNC.
VNC-доступ дозволяє операторам трояна в реальному часі управляти пристроєм: здійснювати платежі, підтверджувати перекази, змінювати налаштування безпеки, перехоплювати одноразові коди та конфіденційні дані. Для мінімізації ризику викриття троян може вимикати звук, показувати «чорний екран» або порожній інтерфейс, поки у фоні виконуються шахрайські операції.
Зловживання Accessibility services та обхід FLAG_SECURE
Окремі версії Albiriox покладаються на Accessibility services в Android — стандартний механізм для допомоги користувачам з особливими потребами, який часто експлуатується банківськими троянами. Надані цьому сервісу права фактично дають шкідливому ПЗ повний огляд інтерфейсу пристрою та можливість взаємодіяти з елементами UI замість користувача.
Завдяки цьому троян може обходити захисний прапор FLAG_SECURE, що блокує знімки та запис екрана в банківських і криптовалютних застосунках. Для зловмисників це критично: вони отримують видимість того, що за задумом розробників має залишатися прихованим навіть від легальних інструментів віддаленої підтримки.
Оверлей-атаки та динамічний перехоплення даних
Як і інші Android-банкери, Albiriox активно використовує оверлей-атаки. Поверх справжніх застосунків виводяться підроблені вікна входу чи підтвердження транзакцій. Користувач вводить логін, пароль, PIN-код або одноразовий пароль, вважаючи, що взаємодіє зі своїм банком чи платіжним сервісом, тоді як дані миттєво опиняються у руках атакувальників.
Троян здатен імітувати діалогові вікна системного оновлення, фальшиві веб-форми чи просто показувати чорний екран, поки в бекґраунді оператори через VNC проводять перекази або змінюють параметри безпеки. Таке поєднання соціальної інженерії та технічних прийомів значно ускладнює самостійне виявлення компрометації користувачем.
Обхід захисту та шифрування: кастомні збірки й сервіс Golden Crypt
Клієнтам Albiriox пропонується гнучкий білдер шкідливих збірок, інтегрований зі стороннім сервісом шифрування Golden Crypt. Криптор змінює структуру та сигнатури виконуваних файлів, допомагаючи обходити статичне сигнатурне виявлення з боку антивірусів та рішень mobile security.
У поєднанні з динамічними техніками маскування, таргетованими оверлей-екранами під конкретні застосунки і використанням легітимних системних функцій Android, Albiriox демонструє типову еволюцію on-device шахрайства: від простого крадіжки облікових даних до повного віддаленого контролю над фінансовими операціями користувача.
Поява таких інструментів підкреслює необхідність базової кібергігієни: не встановлювати застосунки за посиланнями з SMS та месенджерів, перевіряти доменні імена та сертифікати сайтів, тримати вимкненою опцію інсталяції з невідомих джерел, регулярно оновлювати Android та застосовувати надійні рішення захисту. Організаціям, особливо у фінансовому секторі, варто враховувати сценарії on-device шахрайства в моделях загроз і доповнювати класичний антифрод поведінковою аналітикою, контролем цілісності пристрою та механізмами виявлення зловживання Accessibility services.
