New Android Albiriox Malware Gains Traction in Dark Web Markets

一种新的Android恶意软件家族，以恶意软件即服务（MaaS）形式推广，已在俄语网络犯罪论坛上出现，提供完全设备控制和实时欺诈功能。 根据Cleafy威胁情报团队发布的分析，这款名为Albiriox的恶意软件旨在支持设备上欺诈，并已针对全球400多个银行和加密货币应用程序。 Albiriox是一种具有远程控制和凭证窃取功能的快速增长Android威胁，于2025年9月从私人测试版转向10月推出的公共MaaS模式。 论坛帖子显示，运营商推销该恶意软件基于无障碍服务的VNC模块，允许攻击者远程与受感染设备交互。订阅访问权限最初定价为每月650美元，10月21日后上涨至720美元。

早期活动指向针对性部署

首次观察到的部署浪潮范围似乎有限。其中一次活动通过短信链接针对奥地利移动用户，这些链接导向德语钓鱼页面。受害者最初被引导至一个假冒的Google Play网站，该网站分发名为"Penny Market"的恶意应用，作为最终Albiriox有效载荷的投放器。 随后，攻击者转向一种手机号码收集方案，通过WhatsApp发送下载链接，并过滤输入内容以仅接受奥地利号码。 研究人员发现，该投放器使用JSONPacker对底层代码进行混淆，并在安装Albiriox之前诱使受害者启用"安装未知应用"权限。一旦激活，恶意软件通过未加密的TCP通道连接到其命令服务器，并使用硬件和操作系统标识符注册设备。

调查显示，Albiriox支持一系列广泛的欺诈功能，包括：

• 通过VNC和基于无障碍服务的视图进行实时屏幕流传输
• 黑屏和系统更新覆盖层
• 用户界面自动化操作，如点击、滑动、文本输入和应用启动

运营商优先考虑规避手段

Cleafy还发现了论坛讨论，其中买家询问Albiriox是否完全无法检测。开发者的回应是强调一个集成了Golden Crypt加密服务的自定义构建器，以规避静态扫描。 该公司总结认为，Albiriox反映了向专注于ODF的移动恶意软件加速转变的趋势。凭借其MaaS模式、两阶段交付链和广泛的目标列表，分析师预计该恶意软件将快速成熟，并对全球金融机构构成日益增长的风险。 “这种多维度的可见性使金融机构能够在攻击链的最早阶段检测到设备被入侵，并在欺诈执行之前实施精确、情境感知的响应策略，“Cleafy写道。 “随着移动银行威胁的不断成熟，将这些指标编排为可操作的防御措施的能力，对于领先于这类新兴的Android恶意软件至关重要。”