Allarme Albiriox: nuovo malware Android MaaS ruba dati bancari

Un nuovo malware Android denominato Albiriox è stato identificato nei forum criminali russofoni, dove viene commercializzato come servizio a un costo compreso tra i 650 e i 720 dollari mensili.

Questo strumento rappresenta una minaccia significativa per le banche online, wallet di criptovalute e piattaforme di pagamento in tutto il mondo. Lo strumento sfrutta tecnologie avanzate come VNC, Accessibility Service e attacchi di overlay per sottrarre dati finanziari e controllare i dispositivi da remoto. Il prezzo accessibile trasforma praticamente chiunque in un potenziale cybercriminale, abbattendo le barriere d’ingresso nel mondo del crimine digitale.

La diffusione di Albiriox non richiede sofisticazioni particolari: bastano falsi annunci di app credibili, messaggi SMS e WhatsApp con link ingannevoli, oppure applicazioni dropper che richiedono permessi elevati per installare il vero payload. Una volta penetrato nel dispositivo, il malware inizia a lavorare indisturbato, comunicando silenziosamente con i server remoti degli attaccanti. Gli utenti, nella maggior parte dei casi, non si accorgono nemmeno della presenza della minaccia fino a quando non notano anomalie nel loro conto bancario o nelle transazioni di criptovalute.

Albiriox: i tre canali di distribuzione principale

Gli attaccanti scelgono percorsi ben definiti e consolidati nel panorama della distribuzione malevola. Il primo canale riguarda le pagine fasulle che imitano Google Play o store alternativi, permettendo agli utenti ignari di scaricare il malware credendo di installare applicazioni legittime.

Il secondo canale utilizza messaggi di phishing che si spacciavano per aggiornamenti critici o promozioni allettanti, inducendo le vittime a cliccare su link compromessi. Il terzo canale impiega app intermedie, note come dropper, che scaricano il vero e proprio payload del malware chiedendo diritti di sistema apparentemente innocui. Questa stratificazione di metodi rende la difesa particolarmente complessa per gli utenti medi.

Cosa rende Albiriox così pericoloso dal punto di vista tecnico

Albiriox implementa una sessione VNC che consente ai criminali di controllare il telefono come se lo tenessero letteralmente in mano: clic, swipe, digitazione di testo, tutto è possibile da remoto. Peggio ancora, sfrutta l’Accessibility Service di Android per aggirare protezioni critiche come FLAG_SECURE e catturare contenuti dello schermo in tempo reale. Aggiunge inoltre attacchi di overlay — schermate false sovrapposte alle app di banking per rubare credenziali di accesso — e trasmette dati sensibili verso server remoti, spesso senza alcuna cifratura. Questa combinazione di tecniche rende estremamente difficile l’identificazione e la difesa da parte delle vittime.

Indicatori tecnici e linguistici puntano verso un gruppo di criminali russofoni ben organizzato. Il servizio viene affittato in abbonamento mensile secondo il modello MaaS (Malware as a Service), con accesso a un builder personalizzato e a Golden Crypt, un sofisticato tool di offuscamento che riduce drasticamente il rilevamento da parte degli antivirus. Il modello MaaS rappresenta una vera democratizzazione del cybercrimine: non è necessario possedere competenze di programmazione avanzate, basta disporre dei fondi per pagare l’abbonamento mensile.

Come difendersi

Scaricare app esclusivamente da store ufficiali, ignorando link da messaggi non sollecitati;
Controllare attentamente i permessi richiesti: un’app non dovrebbe mai chiedere privilegi inutili;
Aggiornare sempre il sistema operativo e le applicazioni alle versioni più recenti;
Attivare Google Play Protect e un antivirus affidabile e regolarmente aggiornato;
In caso di rallentamenti anomali, richieste strane di permessi o schermate inusuali, contattare immediatamente il supporto tecnico o la propria banca.