Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware Albiriox MaaS Malware

Albiriox MaaS Malware

Von Mezo in Mobile Malware, Banking-Trojaner
Übersetzen Sie in:

Eine neu aufgetauchte Android-Bedrohung namens Albiriox stellt die neueste Entwicklung im Bereich des Gerätebetrugs dar. Sie wird als Malware-as-a-Service-Modell angeboten und stellt ein umfangreiches Toolkit zur Fernsteuerung, zum automatisierten Missbrauch und zur unbemerkten Manipulation der Geräte von Opfern bereit.

Eine kommerzialisierte Bedrohung, die für Betrug geschaffen wurde

Albiriox wird als umfassendes MaaS-Angebot vermarktet, das Betrug auf Geräten (On-Device Fraud, ODF), Echtzeit-Geräteinteraktion und nahtlose Bildschirmmanipulation ermöglicht. Erste Aktivitäten deuten darauf hin, dass die Betreiber Ende September 2025 zunächst eine begrenzte Rekrutierungsphase durchführten, bevor sie zu einer breiteren kommerziellen Einführung übergingen. Indikatoren in Forendiskussionen, Sprachgebrauch und unterstützender Infrastruktur lassen vermuten, dass russischsprachige Cyberkriminelle das Projekt leiten.

Die Entwickler bieten außerdem einen benutzerdefinierten Builder an, der sich Berichten zufolge in den Verschlüsselungsdienst Golden Crypt integrieren lässt und es Kunden ermöglicht, Antivirenprogramme und mobile Sicherheitsabwehrmechanismen zu umgehen.

Ausrichtung auf ein breites Anwendungsgebiet

Die Schadsoftware enthält eine umfangreiche, fest codierte Liste von über 400 Zielanwendungen. Diese decken ein breites Spektrum sensibler Kategorien ab, darunter Bankwesen, Fintech, Kryptowährungsbörsen, Zahlungsdienstleister, digitale Geldbörsen und Online-Handelsplattformen. Dieser breit angelegte Ansatz zielt darauf ab, Zugangsdaten zu erfassen, betrügerische Transaktionen auszulösen und unbemerkt Zugriff auf Finanzanwendungen zu gewährleisten.

Verdeckter Einsatz durch Social Engineering

Die Verbreitung basiert maßgeblich auf irreführenden Ködern, die Nutzer dazu verleiten sollen, getarnte Dropper zu installieren. Angreifer kombinieren Social-Engineering-Methoden mit Packing- und Verschleierungstechniken, um statische Analysetools zu umgehen. Eine Kampagne, die sich an österreichische Nutzer richtete, nutzte deutschsprachige SMS und verkürzte URLs, die zu gefälschten Google-Play-Store-Seiten für Apps wie „PENNY Angebote & Coupons“ führten.

Opfer, die auf den gefälschten „Installieren“-Button klickten, luden unwissentlich eine manipulierte APK-Datei herunter. Nach dem Start forderte die App die Berechtigung zur Installation zusätzlicher Software an und gab sich als routinemäßiges Update aus. Dadurch wurde die eigentliche Schadsoftware Albiriox ausgeführt.

Eine damit zusammenhängende Kampagne leitete potenzielle Opfer auf eine betrügerische Website im PENNY-Stil um, wo sie aufgefordert wurden, ihre Telefonnummer anzugeben, um einen WhatsApp-Download-Link zu erhalten. Akzeptiert wurden ausschließlich österreichische Nummern, und alle Einsendungen wurden an einen von den Betreibern kontrollierten Telegram-Bot weitergeleitet.

Fernsteuerung und verdeckter Betrieb

Nach der Aktivierung stellt Albiriox über einen unverschlüsselten TCP-Socket eine Verbindung zu seinem Command-and-Control-Server her. Dies ermöglicht es Angreifern, Befehle für die vollständige Ferninteraktion zu senden. Zu den wichtigsten Funktionen gehören:

  • Gerätesteuerung über VNC, unterstützt durch ein zusätzliches Fernzugriffsmodul
  • Extraktion sensibler Daten auf Abruf
  • Einsatz von schwarzen oder leeren Bildschirmen zur Verschleierung schädlicher Aktivitäten
  • Fernsteuerung der Lautstärke zur Aufrechterhaltung der Betriebsunauffälligkeit

Eine Variante nutzt die Barrierefreiheitsdienste von Android, um den Nutzern alle Oberflächenelemente anzuzeigen. Dieses Verfahren wurde speziell entwickelt, um die Einschränkungen der Android-Funktion FLAG_SECURE zu umgehen, die Screenshots und Bildschirmaufnahmen in vielen Finanzanwendungen verhindert.

Umgehung von Schnittstellenschutzmechanismen zur Betrugsbekämpfung

Der auf Zugänglichkeit basierende Streaming-Mechanismus ermöglicht Angreifern die Darstellung der Geräteschnittstelle auf Knotenebene. Da er herkömmliche Techniken zur Bildschirmaufzeichnung vermeidet, werden die in Banking- und Kryptowährungs-Apps integrierten Schutzmechanismen nicht ausgelöst. Dadurch erhalten Angreifer dauerhaften und uneingeschränkten Einblick in sensible Bildschirminhalte.

Overlay-Angriffe und Credential Harvesting

Wie andere Banking-Trojaner für Android nutzt auch Albiriox Overlay-Angriffe, die auf einer fest codierten Liste anvisierter Anwendungen basieren. Diese Overlays erscheinen als legitime Anmeldefenster oder Systemdialoge und ermöglichen so den Diebstahl von Zugangsdaten. Zusätzlich zeigt die Malware irreführende Bildschirme an, beispielsweise gefälschte Update-Aufforderungen oder komplett schwarze Anzeigen, um ihre Aktivitäten zu verschleiern, während betrügerische Operationen im Hintergrund ablaufen.

Eine vollständig ausgestattete ODF-Plattform

Albiriox weist alle charakteristischen Merkmale hochentwickelter Betrugs-Malware auf, die auf dem Gerät selbst operiert. Die Kombination aus VNC-basierter Fernmanipulation, auf Zugriffsberechtigungen basierenden Automatisierungsabläufen, gezielten Overlays und dynamischen Datenerfassungstechniken ermöglicht es Angreifern, Authentifizierungskontrollen zu umgehen und herkömmliche Betrugserkennungsmechanismen zu durchschauen. Da die Malware direkt in der legitimen Sitzung des Opfers operiert, gewährt sie ihren Nutzern ein außergewöhnlich hohes Maß an Kontrolle und bietet gleichzeitig ein ebenso großes Missbrauchspotenzial.

Im Trend

Am häufigsten gesehen

Wird geladen...