Новое вредоносное ПО для Android под названием Albiriox активно набирает популярность среди участников русскоязычных даркнет‑площадок. Программа распространяется по модели «вредонос как сервис» (Malware-as-a-Service, MaaS) и ориентирована на полный контроль над мобильными устройствами с возможностью совершения мошеннических операций в реальном времени.
По аналитическому отчёту команды Cleafy Threat Intelligence, вредонос нацелен на более чем 400 банковских и криптовалютных приложений по всему миру.
Albiriox предоставляет оператору расширенный набор инструментов: от удалённого доступа до кражи учётных данных и полной имитации действий пользователя. Угрозу считают быстро развивающейся, особенно после перехода в октябре 2025 года на публичную MaaS-модель, последовавшего за бета-тестированием, завершившимся месяцем ранее.
На даркнет-форумах злоумышленники рекламируют Albiriox как решение с VNC‑модулем, использующим механизмы доступности для получения удалённого управления. Такой подход позволяет атакующему фактически видеть экран жертвы и взаимодействовать с устройством — нажимать, листать, вводить текст и открывать приложения. Стоимость подписки в начале составляла 650 долларов, но после 21 октября выросла до 720 долларов в месяц.
Первая волна активности, по данным исследователей, затронула пользователей из Австрии. Жертвам рассылались SMS с фишинговыми ссылками на поддельные страницы, стилизованные под Google Play. Основной приманкой служило приложение «Penny Market», через которое скачивалась основная вредоносная нагрузка. Позже мошенники адаптировали схему и стали фильтровать потенциальные жертвы по телефонным номерам, передавая ссылки уже через WhatsApp и принимая к установке только австрийские номера.
Для сокрытия вредоносного кода дроппер использовал обфускатор JSONPacker. Перед установкой Albiriox пользователь должен был активировать разрешение на установку ПО из неизвестных источников. После установки вирус подключается к управляющему серверу через открытое TCP-соединение и идентифицирует устройство по его аппаратным и программным параметрам.
Функциональность Albiriox позволяет злоумышленникам использовать множество мошеннических приёмов. Вредонос может транслировать экран в реальном времени, отображать фиктивные системные обновления или «чёрный экран» для сокрытия действий. С его помощью имитируются любые пользовательские действия, включая навигацию по интерфейсу, нажатия, ввод текста и автоматический запуск приложений.