Albiriox: nowy trojan na Androida rozwijany przez rosyjskojęzycznych cyberprzestępców (MaaS, ODF, 400+ celów)

Wprowadzenie do problemu / definicja luki

Cleafy ujawniło nową rodzinę złośliwego systemu na Androida o nazwie Albiriox – komercyjny RAT/banking trojan sprzedawany w modelu Malware-as-a-Service (MaaS) i zaprojektowany do On-Device Fraud (ODF), czyli wykonywania oszustw bezpośrednio na zainfekowanym urządzeniu ofiary. Albiriox łączy zdalne sterowanie (VNC/Accessibility) z nakładkami (overlay), by przejmować sesje w aplikacjach bankowych i kryptowalutowych. Autorzy i operatorzy mają być rosyjskojęzyczni.

W skrócie

• Model biznesowy: subskrypcja MaaS; w październiku kosztował 650 USD/msc (okres promocyjny), następnie 720 USD/msc.
• Zakres celów: ponad 400 twardo zakodowanych aplikacji (banki, fintech, płatności, giełdy, portfele, trading, a choćby gry).
• Techniki: zdalny podgląd/sterowanie ekranem przez Accessibility VNC (AcVNC); nakładki systemowe i „czarny ekran” do maskowania aktywności; komunikacja C2 po niezaszyfrowanym gnieździe TCP; custom builder zintegrowany z Golden Crypt (anty-AV).
• Dystrybucja: kampanie smishingowe, fałszywe strony Google Play (np. aplikacja dyskontu Penny), dropper → adekwatny ładunek; wczesne cele w Austrii.
• Status rozwoju: moduł zdalnego sterowania dojrzały; moduł overlay wciąż doszlifowywany.

Kontekst / historia / powiązania

Pierwsze ślady Albiriox pojawiły się we wrześniu 2025 r. w kanałach Telegram oraz na rosyjskojęzycznych forach, gdzie autor prowadził rekrutację do bety. W październiku projekt przeszedł w pełnopłatny MaaS. Doniesienia mediowe (SecurityWeek, The Hacker News, Malwarebytes) spójnie potwierdzają ODF-owy profil zagrożenia oraz masowy zasięg celów.

Analiza techniczna / szczegóły luki

Łańcuch infekcji i dystrybucja

• Smishing z linkami skróconymi prowadzącymi do fałszywych stron Google Play, podszywających się m.in. pod „PENNY” (DACH). Użytkownik pobiera droppera, który żąda rozszerzonych uprawnień i dociąga adekwatny ładunek. W nowszym wariancie ofiara podaje numer telefonu (akceptowane austriackie formaty), a link przychodzi przez WhatsApp; formularz wysyła dane do bota Telegram.

Ładowanie / ukrywanie

• Zastosowanie technik pakowania (np. JSONPacker) i Golden Crypt w pipeline buildera, by utrudnić statyczną detekcję i wczesne wykrycie.

C2 i sterowanie

• Kanał C2 to niezaszyfrowany TCP socket z handshake (HWID, model urządzenia, wersja Androida), heartbeat (ping/pong) i wymianą komend w JSON.

Zdolności ODF

• AcVNC (Accessibility VNC) omija ograniczenia FLAG_SECURE i pozwala operatorowi oglądać elementy UI na poziomie węzłów, a także automatyzować dotknięcia, przewijanie, wpisywanie tekstu, uruchamianie/odinstalowanie aplikacji itd.
• Nakładki: „System Update”, czarny ekran (maskowanie cudzych działań w tle) oraz targeted overlay dla wybranych aplikacji.

Zasięg celów

• Lista hard-coded obejmuje 400+ aplikacji finansowych (bankowość, portfele, giełdy, płatności), ale też aplikacje towarzyszące (np. inwestycyjne) – co podnosi skuteczność przejęć i lateralnego ruchu w ekosystemie finansowym użytkownika.

Praktyczne konsekwencje / ryzyko

• Omijanie MFA i fingerprintingu urządzeń: operacje wykonywane są na urządzeniu ofiary i w jej ważnej sesji, co utrudnia wykrycie anomalii wyłącznie po stronie serwera banku.
• Real-time fraud: operator widzi ekran i akceptuje autoryzacje, inicjuje przelewy, zmienia beneficjentów, wyłącza powiadomienia – często przy włączonym „czarnym ekranie”.
• Skalowalność (MaaS): niski próg wejścia (subskrypcja, builder, crypting) → szybka replikacja kampanii.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i zespołów IT:

1. Zero sideloadingu: instaluj aplikacje wyłącznie z Google Play/Samsung Galaxy Store; nie klikaj linków z SMS/WhatsApp prowadzących do „Play”.
2. Sprawdź uprawnienia – szczególnie Accessibility, instalowanie z nieznanych źródeł, nakładki na inne aplikacje.
3. Google Play Protect + mobilny EDR/AV; aktualizacje Androida i aplikacji bankowych na bieżąco.
4. Higiena kont: alerty dla nowych beneficjentów, dużych przelewów, logowań z nowych urządzeń; gdzie to możliwe preferuj MFA sprzętowe/aplikacyjne, nie SMS.
5. Incident response: przy podejrzeniu infekcji – tryb samolotowy, odinstalowanie podejrzanych aplikacji, skan, zmiana PIN/hasła ekranu i haseł do banku z innego urządzenia; rozważ fabryczny reset po backupie.

Dla banków/fintechów:

1. Detekcja ODF: korelacja sygnałów klient-side (np. anomalia Accessibility, black-screen, foreground service, nietypowe wzorce inputu) z behawioralną biometrią i telemetrią transakcyjną.
2. Polityki wysokiego ryzyka: wstrzymanie/step-up auth przy wykryciu akcji „set_vnc_mode”, „blank_screen”/overlay-like behavior (sygnały wtórne po stronie aplikacji). (Wnioski na podstawie komend/opisów z analizy Cleafy).
3. App hardening: egzekwowanie FLAG_SECURE + detekcja nadużyć Accessibility (heurystyki), ograniczenia dla WebView/overlay, kontrola integry aplikacji.
4. Bot intelligence: listy IOC, telemetryczne wskaźniki kampanii (domeny phishing/WhatsApp/Telegram) i szybkie blokady w bramkach SMS.

Różnice / porównania z innymi przypadkami

• W przeciwieństwie do wielu „klasycznych” trojanów bankowych, Albiriox od początku projektowano pod pełny przejęcie urządzenia i ODF (a nie tylko kradzież danych/uwierzytelnień). Jego AcVNC dookreśla trend obchodzenia FLAG_SECURE przez mechanizmy Accessibility.
• Skala celów (400+) i komercyjny builder + crypting odróżniają Albiriox od wielu młodszych rodzin; to raczej „produkt” z zapleczem operatorskim i szybkim cyklem iteracji.

Podsumowanie / najważniejsze wnioski

Albiriox to świeża, gwałtownie rozwijająca się platforma MaaS dla oszustw na urządzeniu, która łączy zdalną kontrolę (Accessibility/VNC), nakładki oraz szeroki zestaw automatyzacji. W połączeniu z masowym katalogiem celów i niskim progiem wejścia (subskrypcja), ryzyko dla bankowości mobilnej i krypto jest realne – zwłaszcza tam, gdzie brakuje detekcji sygnałów ODF po stronie aplikacji i back-office.

Źródła / bibliografia

1. Cleafy Labs: Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets (27.11.2025). (cleafy.com)
2. SecurityWeek: New Albiriox Android Malware Developed by Russian Cybercriminals (01.12.2025). (SecurityWeek)
3. The Hacker News: New Albiriox MaaS Malware Targets 400+ Apps for On-Device Fraud and Screen Control (01.12.2025). (The Hacker News)
4. Malwarebytes Labs: New Android malware lets criminals control your phone and drain your bank account (01.12.2025). (malwarebytes.com)