Опасен нов Android малуер, наречен Albiriox, беше идентифициран от екипа Cleafy Threat Intelligence и вече се определя като една от най-сериозните заплахи за мобилното банкиране и криптовалутните услуги през 2025 г. Зловредният софтуер се разпространява като Malware-as-a-Service (MaaS) и се наема от киберпрестъпници срещу месечни такси между 650 и 720 долара, което допълнително улеснява навлизането му в глобалната престъпна екосистема.

Бърза еволюция: От затворена бета до криминален комерсиален продукт

Albiriox е засечен за първи път през септември 2025 г. в ограничена бета фаза, предназначена за потребители с висока репутация във форумите на ъндърграунда. През октомври 2025 г. инструментът става обществено достъпен, подкрепен от агресивни промоции, видеа и публикации в Telegram канали.

Анализът на комуникациите във форумите, инфраструктурата и езиковите модели сочи, че зад проекта стоят рускоговорящи оператори, които активно развиват продукта, за да привлекат още клиенти от криминалните среди.

Как работи Albiriox

1. Двустепенно заразяване

Малуерът използва изключително ефективна схема на разпространение:

• Жертвите получават SMS съобщения с линкове към фалшиви сайтове.

• Страниците имитират Google Play, популярни търговски приложения или легитимни услуги.

• Потребителят сваля „dropper“ приложение, което се представя като истинска програма.

• След инсталацията Albiriox изисква разрешение за “Install Unknown Apps”, показвайки фалшив екран за системна актуализация.

• След получаване на достъп малуерът инсталира основния си payload и поема контрол над устройството.

2. Пълен достъп чрез VNC

Първият основен модул на Albiriox представлява VNC-базиран инструмент за отдалечен достъп, позволяващ на атакуващите да:

• виждат екрана в реално време

• натискат бутони

• пишат текст

• навигират в приложенията на жертвата

Престъпниците управляват телефона така, сякаш физически го държат в ръце.

3. Overlay атаки срещу банки

Вторият модул използва overlay техники, чрез които върху легитимни банкови приложения се показват фалшиви екрани за вход. Така се крадат:

• потребителски имена

• пароли

• PIN кодове

• еднократни кодове

Малуерът може да показва черен екран, докато в бекграунд се извършват незаконни трансакции.

Глобална целева листа с над 400 финансови приложения

Albiriox е създаден за масови измами и атакува:

• банки

• криптоборси

• дигитални портфейли

• платежни оператори

Обхванати са множество държави, което показва глобалния мащаб на кампанията.

Техники за избягване на откриване

Малуерът използва:

• custom builder, интегриран с услугата за криптиране Golden Crypt

• механизми за заобикаляне на антивируси

• специален метод за стрийминг през Accessibility Services, който позволява заснемане на екрана дори при активни защити на банковите приложения

Тези механизми правят Albiriox трудно засичан от стандартните инструменти за мобилна сигурност.

Първи реални атаки

Още през първите седмици след появата му изследователите засичат активна кампания срещу потребители в Австрия. Тя използва:

• германски езикови примамки

• фалшиви страници имитиращи Penny Market

• скъсени линкове в SMS

Това потвърждава, че инструментът вече е навлязъл в реални криминални операции.

Защита и препоръки

Специалистите по киберсигурност предупреждават, че Albiriox представлява ново поколение Android банкови малуери. За защита потребителите трябва да:

• свалят приложения само от официални магазини

• игнорират линкове от SMS и месинджър приложения

• поддържат системата си актуализирана

• използват мобилна антивирусна защита

• активират двуфакторна автентикация в банковите приложения

Развитието на Albiriox, заедно с модела MaaS, предполага, че разпространението му тепърва ще расте и заплахата ще се задълбочава.