Il panorama delle minacce informatiche su dispositivi mobili si arricchisce di un nuovo e sofisticato malware Android chiamato Albiriox, proposto come servizio MaaS (Malware-as-a-Service). Questo malware si distingue per la sua capacitĂ di favorire frodi direttamente dal dispositivo (ODF), manipolare lo schermo e controllare in tempo reale device infetti. Albiriox include una lista predefinita di oltre 400 applicazioni bersaglio tra cui banche, fintech, wallet digitali, exchange di criptovalute e piattaforme di trading.
Distribuzione e modalitĂ di infezione
La distribuzione di Albiriox avviene tramite dropper camuffati da applicazioni legittime attraverso tecniche di social engineering e metodi di offuscamento che ne rendono difficile l'individuazione da parte degli antivirus. Il malware è stato inizialmente promosso in fase di reclutamento limitato per poi passare rapidamente a un’offerta MaaS, rivolta principalmente a un pubblico russofono attivo su forum cybercriminali. Gli acquirenti possono accedere a un builder personalizzato che integra servizi di criptazione avanzati per eludere i controlli di sicurezza, con un abbonamento mensile di 720 dollari.
FunzionalitĂ e tecniche di attacco
Il fine ultimo di Albiriox è il completo controllo dei dispositivi mobili per compiere azioni fraudolente senza destare sospetti. Una delle prime campagne osservate ha colpito utenti austriaci, sfruttando esche in lingua tedesca e SMS con link abbreviati che indirizzano verso false pagine Google Play Store. Gli utenti che installano l’app vengono indotti a concedere permessi avanzati sotto la falsa promessa di un aggiornamento software, portando all’installazione del payload malevolo.
La comunicazione tra il malware e i server di comando e controllo avviene tramite socket TCP non cifrati, consentendo agli attaccanti di impartire comandi remoti, estrarre dati sensibili, mostrare schermate nere e regolare il volume del dispositivo per operare in modo furtivo. Albiriox utilizza inoltre moduli VNC per il controllo remoto, sfruttando i servizi di accessibilitĂ di Android per aggirare le protezioni FLAG_SECURE che impediscono la registrazione o il capture dello schermo nelle app bancarie o di criptovalute.
Varianti e minacce correlate
Oltre ad attacchi overlay per il furto di credenziali, il malware può mostrare schermate simulate di aggiornamento o nere per nascondere le attività in background. Sono state riscontrate anche varianti di distribuzione tramite siti falsi che invitano gli utenti a inserire il proprio numero di telefono, successivamente inviato a bot Telegram per finalità malevole.
Accanto ad Albiriox, emergono altri malware MaaS come RadzaRat e BTMOB, che sfruttano servizi di accessibilitĂ per spiare, rubare dati e mantenere la persistenza sui dispositivi, confermando una crescente democratizzazione degli strumenti cybercriminali e la necessitĂ di rafforzare le strategie di sicurezza mobile.
