Continuano gli attacchi contro Android, che cos'è il malware Albiriox?
Gli esperti di sicurezza informatica hanno rilevato un nuovo malware Android chiamato Albiriox pensato per condurre frodi finanziarie sui dispositivi infetti
In Sintesi
- Albiriox è una nuova e sofisticata famiglia di malware Android, identificata come un’operazione Malware-as-a-Service, gestita da hacker russi.
- Il malware permette agli aggressori di vedere e controllare totalmente lo smartphone della vittima in tempo reale, aggirando l’autenticazione a due fattori e i sistemi biometrici.
Gli esperti di sicurezza informatica hanno identificato una nuova e sofisticata famiglia di malware Android, denominata Albiriox, che si sta diffondendo molto rapidamente. Dalle prime informazioni a disposizione si tratta di un’operazione strutturata secondo il modello del Malware-as-a-Service (MaaS), offrendo agli hacker funzionalità avanzate di accesso remoto e strumenti pensati per condurre frodi finanziarie sui dispositivi infetti.
Identificato dai ricercatori di Cleafy, Albiriox è progettato per eseguire attacchi di On-Device Fraud (ODF), garantendo ai criminali un controllo totale sullo smartphone della vittima. Questo consente di aggirare anche le misure di sicurezza più robuste, dall’impronta digitale ai sistemi di autenticazione a due fattori, rendendo possibili operazioni fraudolente eseguite in tempo reale.
Che cosa sappiamo di Albiriox
Il malware è apparso per la prima volta nel settembre 2025 in forum underground riservati, passando rapidamente da una fase beta privata a un’offerta commerciale strutturata entro ottobre. Secondo le prime analisi, l’operazione sembra essere gestita da alcuni hacker russi che hanno promosso aggressivamente il servizio attraverso canali clandestini. L’accesso al kit completo viene offerto tramite un abbonamento mensile dal costo di circa 650 dollari, segno di un’evoluzione ormai evidente verso modelli industrializzati di criminalità informatica.
A differenza dei tradizionali ladri di credenziali, Albiriox fornisce agli aggressori strumenti di interazione diretta con il dispositivo della vittima. Il cuore dell’operazione è un modulo VNC (Virtual Network Computing) in grado di trasmettere in streaming lo schermo dell’utente in tempo reale, consentendo agli attaccanti di effettuare operazioni bancarie come se avessero fisicamente in mano lo smartphone.
Come accaduto in casi analoghi, l’infezione inizia con un SMS contenente link abbreviati, spesso accompagnati da messaggi che promettono sconti o premi. Una volta cliccato il collegamento, l’utente viene reindirizzato a una pagina falsa che imita il Google Play Store.
Il secondo passaggio prevede l’installazione di un’app Dropper, apparentemente legittima (in Australia, ad esempio, il malware era nascosto in una falsa app di Penny Market), che richiede autorizzazioni come Installa app sconosciute. Attraverso tali permessi il Dropper recupera il payload maligno di Albiriox direttamente da un server C2 (Command and Control).
Importante sottolineare, inoltre, che Albiriox è stato sviluppato per agire senza essere intercettato; per farlo utilizza Golden Crypt, un servizio di crittografia di terze parti, per rendere il codice praticamente invisibile ai motori antivirus statici. A questo meccanismo di offuscamento si aggiungono ulteriori tecniche come JSONPacker e un sistema di distribuzione a due stadi che complica ulteriormente l’analisi da parte dei ricercatori.
Una volta attivo, il malware abusa dei Servizi di Accessibilità di Android che consentono agli aggressori di muoversi liberamente all’interno del dispositivo.
Stando al report condiviso da Cleafy, Albiriox include un elenco codificato di oltre 400 applicazioni bersaglio, principalmente app bancarie, portafogli di criptovalute e servizi di pagamento diffusi in tutto il mondo.
Quali sono i rischi della diffusione di Albiriox
Visti i ritmi di sviluppo così sostenuti, secondo gli esperti di cybersecurity Albiriox è destinato a diventare uno degli strumenti più diffusi e più insidiosi per le frodi finanziarie su Android. La capacità di combinare lo streaming dello schermo della vittima con la manipolazione dei servizi di accessibilità crea un contesto operativo quasi invisibile, con i criminali informatici che possono eseguire transazioni bancarie mentre lo schermo dello smartphone appare nero, impedendo alla vittima di accorgersi dell’attacco.
Il risultato è una minaccia particolarmente critica per utenti e istituzioni finanziarie, soprattutto in un momento in cui le frodi digitali diventano sempre più sofisticate e difficili da individuare. Albiriox, insomma, non è solo un’evoluzione tecnica del malware mobile, ma rappresenta anche il chiaro segnale di come i modelli MaaS stiano diventando un pilastro dell’economia criminale globale.
