Android revine in centrul unei alerte de securitate, dupa ce cercetatorii au identificat Albiriox, o noua familie de programe malware bancare care ofera atacatorilor control de la distanta, in timp real, asupra telefoanelor infectate. Android devine astfel scena unei fraude „pe dispozitiv”, unde infractorii opereaza direct in aplicatiile victimei, fara sa se limiteze la furtul de parole.
Android este vizat de un RAT (troian de acces la distanta) construit special pentru tranzactii realizate chiar in sesiunea reala a utilizatorului. Miza este majora: golirea conturilor bancare si a portofelelor de criptomonede poate avea loc discret, in timpul unor interactiuni aparent normale, tocmai pentru ca operatiunile se desfasoara pe telefonul victimei, nu pe infrastructura atacatorului.
Albiriox este descris ca un troian bancar si RAT pentru Android, proiectat pentru frauda pe dispozitiv: atacatorii nu trebuie sa „fure si sa plece”, ci pot intra in aplicatiile financiare ale victimei si pot efectua transferuri direct de pe telefon. Arhitectura este una structurata, cu incarcatoare, module de comanda si panouri de control adaptate pentru aplicatii bancare, fintech, plati si servicii de criptomonede la nivel global.
Albiriox este comercializat ca serviciu MaaS, ceea ce inseamna ca un atacator nu are nevoie sa construiasca singur intregul lant tehnic. Poate inchiria acces si lansa campanii proprii. A fost observat pentru prima data in septembrie 2025, cand ar fi inceput o faza de recrutare limitata, semn ca ecosistemul din jurul sau se poate extinde rapid.
Vizeaza deja sute de aplicatii financiare si cripto, cu peste 400 de intrari intr-o baza interna de monitorizare
Intr-o campanie timpurie, tinta mentionata a fost Austria, insa semnalul de alarma tine de scalare. Spre deosebire de valurile mai vechi de malware mobil, orientate catre o singura banca sau o singura tara, Albiriox pentru Android vizeaza deja sute de aplicatii din mai multe regiuni. Baza interna de monitorizare ar fi inclus peste 400 de aplicatii, indicand o strategie orientata spre volum si diversificare.
Distributia, intr-un model MaaS, poate folosi aproape orice canal: aplicatii false si inginerie sociala, inclusiv smishing sau linkuri care imita branduri ori magazine de aplicatii. In cel putin o campanie, victimele ar fi fost atrase cu o aplicatie falsă de comerciant, care imita o pagina de descarcare Google Play, pentru a instala un dropper. De regula, prima aplicatie vazuta este un incarcator care cere permisiuni, apoi descarca sarcina utila principala.
Capabilitatile sunt construite sa lucreze impreuna: control de la distanta live prin transmiterea ecranului, posibilitatea de a atinge, glisa si tasta in timp real, si instrumente pentru frauda pe dispozitiv. Albiriox abuzeaza Serviciile de accesibilitate Android pentru automatizarea actiunilor, citirea continutului de pe ecran si ocolirea unor solicitari de securitate. Suprapunerile sunt in dezvoltare activa, cu ecrane false de login sau verificare, iar „ecranul negru” poate masca operatiunile, astfel incat victima sa nu observe ca telefonul este folosit in fundal.
Albiriox arata cum evolueaza frauda pe Android: de la furtul de date la control complet al sesiunii reale. Cand tranzactiile se fac pe propriul dispozitiv al victimei, infractorii pot ocoli mai usor autentificarea multi-factor si verificarile bazate pe „amprenta” dispozitivului, iar atacul poate ramane invizibil pana la disparitia banilor.
