Исследователи из Cleafy обнаружили новую опасную вредоносную программу для Android — Albiriox. Это свежий банковский зловред, который уже называют одним из самых мощных за последнее время. Он нацелен на пользователей банковских приложений и криптовалютных сервисов по всему миру.
Albiriox распространяется по модели «вредонос как услуга» (MaaS): злоумышленники могут просто «арендовать» его за $650-720 в месяц.
Впервые специалисты Cleafy обратили внимание на активность Albiriox в сентябре 2025 года — тогда он тестировался в закрытом бета-режиме и распространялся только среди «уважаемых» участников киберпреступных форумов. К октябрю доступ стал публичным.
По данным исследователей, за проектом стоят русскоязычные киберпреступники: на это указывают и язык общения, и инфраструктура, и активность на форумах. Всего за пару месяцев вредонос вырос из закрытой беты в полноценный коммерческий инструмент — с рекламными роликами, «презентациями» и продвижением в Telegram.
Схема заражения довольно хитрая. Сначала жертве приходит СМС со ссылкой на поддельный сайт, маскирующийся под Google Play Store или популярные ретейл-приложения. Пользователь думает, что скачивает настоящее приложение, — а на деле устанавливает «дроппер», который потом подтягивает основной зловред.
После установки Albiriox показывает фальшивый экран «системного обновления» и просит разрешение на установку приложений из неизвестных источников. Получив его, вредонос разворачивает основной модуль и получает полный контроль над устройством.
Albiriox сочетает два мощных метода атаки:
- удалённый доступ через VNC — злоумышленник видит экран телефона и может делать всё, что делает пользователь: нажимать кнопки, вводить текст, открывать приложения;
- оверлеи — поверх банковских приложений накладываются фальшивые формы входа, чтобы украсть логины, пароли и другие данные.
Помимо этого, зловред может показывать чёрный экран, чтобы скрыть действия злоумышленников, пока они совершают несанкционированные операции.
Целью Albiriox стали более 400 финансовых приложений: банки, криптобиржи, кошельки, платёжные сервисы в разных странах. С точки зрения масштаба это явно инструмент для глобальных мошеннических кампаний.
Чтобы обходить защиту, вредонос использует собственный билдер, интегрированный с сервисом шифрования Golden Crypt, а также специальный метод потоковой передачи экрана через специальные возможности ОС (Accessibility Services) — это позволяет получать данные даже из тех банковских приложений, которые блокируют запись экрана.
Первые реальные атаки уже зафиксированы. Один из ранних случаев был в Австрии — жертв заманивали поддельной страницей Penny Market и СМС-сообщениями с укороченными ссылками.
Эксперты напоминают:
- скачивать приложения стоит только из официальных магазинов;
- не переходить по ссылкам из СМС и мессенджеров;
- держать систему обновлённой;
- включать двухфакторную аутентификацию;
- использовать мобильные средства защиты.
По мнению специалистов, Albiriox — представитель нового поколения Android-банковских зловредов. Модель MaaS и активное развитие делают его особенно опасным — и есть риск, что в ближайшие месяцы он получит ещё большее распространение.
