新安卓恶意软件让罪犯控制你的手机并掏空你的银行账户

Albiriox 是一个新的安卓银行恶意软件家族，它能让攻击者实时远程控制受感染的手机，在真实会话中悄无声息地掏空银行和加密账户。研究人员分析发现，Albiriox 显示出快速发展的迹象，且已具备强大能力。Albiriox 以恶意软件即服务的形式出售，这意味着入门级网络罪犯只需租用访问权限即可发起自己的欺诈活动。它首次被观测到是在2025年9月，当时攻击者开始了有限的招募阶段。

Albiriox 是一款安卓远程访问木马和银行木马，专为设备端欺诈而设计，犯罪分子直接在受害者的手机上进行交易，而不仅仅是窃取密码。它拥有结构化的架构，包括加载器、命令模块和控制面板，专门针对全球范围内的金融应用和加密货币服务。

在早期的一次活动中，Albiriox 瞄准了奥地利。但与专注于单一银行或国家的旧移动恶意软件不同，Albiriox 已经瞄准了多个地区的数百个银行、金融科技、支付和加密应用。其内部应用监控数据库包含超过400个应用程序。

由于它是一项MaaS服务，攻击者可以按他们喜欢的任何方式分发 Albiriox。通常的方法是通过虚假应用和社交工程，通常是借助钓鱼短信或模仿合法品牌或应用商店的链接。在至少一次活动中，受害者被一个模仿谷歌Play商店下载页面的虚假零售商应用诱骗，从而安装了恶意的“投递器”。

受害者看到的第一个应用通常只是一个加载器，它在获得额外权限后下载并安装主要的 Albiriox 载荷。为了保持隐蔽，该恶意软件使用混淆和加密服务，使安全产品更难检测。

Albiriox 有何特别之处？

Albiriox 结合了多项高级功能，协同工作，让攻击者几乎能像他们亲手拿着你的手机一样对其进行控制：

• 实时远程控制：恶意软件将设备屏幕流式传输给攻击者，攻击者可以实时点击、滑动、键入和导航。
• 设备端欺诈工具：犯罪分子可以打开你的银行或加密应用，启动转账，并使用你自己的设备和会话进行批准。
• 无障碍服务滥用：它滥用安卓无障碍服务来自动化点击、读取屏幕内容并绕过某些安全提示。
• 覆盖攻击：它可以显示覆盖在真实应用上的虚假登录或验证界面，以窃取凭据和验证码，其模板正在不断完善中。
• 黑屏伪装：当攻击者在后台操作时，恶意软件可以显示黑色或虚假屏幕，对用户隐藏欺诈行为。

实时远程控制被这种伪装所隐藏，因此受害者不会注意到任何异常。由于欺诈发生在受害者自己的设备和会话中，犯罪分子通常可以绕过多因素身份验证和设备指纹检查。

如何保持安全

如果你注意到设备出现异常行为，或者发现一些名称通用、包含“工具”、“安全”、“零售商”或“投资”字样的应用，而你不记得是从官方 Play 商店安装的，请使用受信任的安卓反恶意软件解决方案进行全面系统扫描。

但预防胜于治疗：

• 尽可能只从官方应用商店安装应用，避免安装通过短信、电子邮件或即时通讯应用中的链接推广的应用。
• 在安装金融相关或零售商应用之前，请核实开发者名称、下载次数和用户评论，而不要仅信任单一推广链接。
• 保护你的设备。使用最新的实时反恶意软件解决方案，例如 Malwarebytes for Android，它已经可以检测到此恶意软件。
• 仔细审查权限。一个应用真的需要它所请求的权限来完成你想要它做的工作吗？特别是如果它请求无障碍服务、短信或相机访问权限时。
• 保持安卓系统、谷歌 Play 服务以及所有银行或加密应用处于最新状态，以获取最新的安全修复程序。
• 为银行和加密服务启用多因素身份验证，并尽可能选择基于应用或硬件的验证码，而不是短信验证码。如果可能，请为新收款人、大额转账或来自新设备的登录设置账户警报。