Найден новый вредонос для кражи финансов на Android

Команда исследователей кибербезопасности Cleafy Threat Intelligence рассказала о новом вредоносном ПО для Android под названием Albiriox. Оно распространяется как Malware-as-a-Service (MaaS) на форумах в даркнете.

Albiriox его разработчики впервые представили в сентябре 2025 года в рамках закрытого бета тестирования. Вредонос описывался как полнофункциональный RAT с функцией VNC. В октябре 2025 года он стал публичным MaaS. Стоимость подписки составляла 650 долларов в месяц, после 21 октября цена выросла до 720 долларов. Жертвами стали жители центральной Европы. 

Albiriox использует двухэтапный метод заражения. Сначала вредонос распространяется через приложения-дропперы с помощью социальной инженерии и упаковки для обхода статического обнаружения. Злоумышленники рассылали SMS с короткими ссылками, которые вели на поддельную страницу Google Play, имитирующую приложение сети супермаркетов Penny Market. Там пользователям предлагалось установить это приложение. При нажатии скачивался APK-дроппер с серверов злоумышленников.

Дроппер Penny применяет метод JSONPacker для обфускации кода. После установки он показывает интерфейс обновления системы, заставляя жертву разрешить установку из неизвестных источников. Затем дроппер устанавливает основную нагрузку Albiriox.

После запуска вредонос устанавливает связь с командным сервером по незашифрованному TCP-сокету, отправляя уникальный идентификатор устройства (HWID), модель и версию Android с помощью JSON-объектов. Для стабильности связи используется ping-pong (двусторонний обмен сигналами). Набор команд включает нажатия, свайпы, ввод текста, переход назад и на домашний экран, управление питанием, получение и удаление паролей, снятие контроля и скрытность (чёрный и пустой экран, управление громкостью), запуск и удаление приложений.

VNC-модуль работает в двух режимах: стандартном VNC и AcVNC (Accessibility VNC). В первом случае передаётся картинка с экрана устройства жертвы. В режиме AcVNC используется служба специальных возможностей для потоковой передачи элементов интерфейса, обходя защиту FLAG_SECURE в банковских приложениях. Оператор видит экран и управляет устройством в реальном времени.

Эксперты отмечают, что Albiriox развивается в сторону полного захвата устройств и способен работать с официальными финансовыми и криптовалютными приложениями, обеспечивая полный контроль над устройством жертвы. Анализ целей вредоноса показал заражение минимум у 400 жертв, включая банки, финтех-компании, платежные системы, криптобиржи, кошельки и торговые площадки по всему миру.