Non si tratta più soltanto di sottrarre password o intercettare SMS: il nuovo obiettivo dei criminali informatici è il controllo totale e in tempo reale del dispositivo della vittima.
Questo è il biglietto da visita di Albiriox, una nuova famiglia di malware Android che sta rapidamente scalando le classifiche di pericolosità nel mondo del cybercrimine.
Albiriox prende il controllo dello smartphone e ti svuota il conto in banca
Identificato per la prima volta nel settembre 2025 e analizzato approfonditamente dai ricercatori di Cleafy e Malwarebytes, Albiriox non è un semplice virus, ma un sofisticato Remote Access Trojan (RAT). La sua peculiarità risiede nella capacità di trasformare lo smartphone infetto in una marionetta nelle mani degli attaccanti, permettendo loro di svuotare conti bancari e portafogli di criptovalute operando direttamente dallo smartphone della vittima.
Albiriox non è gestito da un singolo gruppo isolato, ma è venduto come prodotto commerciale secondo il modello Malware-as-a-Service (MaaS) sui forum underground, presumibilmente da attori di lingua russa. Questo significa che la tecnologia è accessibile a chiunque sia disposto a pagare l’abbonamento mensile (circa 650-720 dollari), permettendo anche a criminali con competenze tecniche limitate di lanciare campagne di frode su larga scala.
Come colpisce: il caso Penny Market
La modalità di infezione è subdola e sfrutta l’ingegneria sociale. Una delle prime campagne osservate, mirata agli utenti in Austria, utilizzava esche legate alla catena di supermercati Penny Market. Le vittime venivano attirate tramite SMS o link fraudolenti su pagine che imitavano alla perfezione il Google Play Store.
Convinto di scaricare l’app ufficiale del supermercato per ottenere sconti o partecipare a concorsi (come una finta “ruota della fortuna”), l’utente scaricava invece un “dropper”.
Una volta installato, questo dropper non mostra l’app promessa, ma richiede permessi critici, in particolare l’accesso ai Servizi di Accessibilità di Android. È qui che scatta la trappola: ottenuto questo permesso, il malware scarica il payload principale di Albiriox e inizia a operare nell’ombra.
Il pericolo della “On-Device Fraud”
La vera forza di Albiriox risiede nella On-Device Fraud (ODF). A differenza dei trojan tradizionali che rubano le credenziali per usarle altrove, Albiriox permette al criminale di collegarsi in remoto al telefono tramite una connessione VNC (Virtual Network Computing).
Il malware abusa dei servizi di accessibilità per aggirare le protezioni di sicurezza come il FLAG_SECURE, che normalmente impedisce di catturare schermate delle app bancarie. L’attaccante può quindi vedere lo schermo in tempo reale, toccare, scorrere e digitare come se avesse il telefono in mano.
Per nascondere le proprie azioni, Albiriox utilizza tecniche di mascheramento. Per esempio sovrappone schermate finte (come una richiesta di aggiornamento di sistema o una pagina di login generica) sopra le app reali e può oscurare lo schermo della vittima rendendolo nero o mostrando un finto spegnimento, mentre in background il criminale apre l’app della banca ed effettua bonifici.
Poiché le transazioni avvengono dal dispositivo “fidato” della vittima, i sistemi antifrode delle banche spesso non rilevano anomalie, e l’autenticazione a più fattori può essere aggirata poiché l’attaccante ha accesso agli SMS o alle app di generazione codici presenti sullo stesso dispositivo.
Nonostante sia una minaccia recente, Albiriox possiede già un database interno per monitorare oltre 400 applicazioni. La lista dei bersagli non si limita alle banche tradizionali, ma include fintech, app di pagamento e wallet di criptovalute in tutto il mondo. Per eludere i sistemi antivirus, gli sviluppatori utilizzano servizi di offuscamento e criptazione del codice, come “Golden Crypt”, rendendo difficile il rilevamento statico.
Come difendersi?
Di fronte a una minaccia capace di prendere il controllo fisico del dispositivo, la prevenzione è l’unica vera difesa efficace. Gli esperti consigliano di:
- Diffidare dei link via SMS: Non installare mai applicazioni partendo da link ricevuti via messaggi o chat, anche se sembrano provenire da marchi noti
- Scaricare solo dagli store ufficiali: Utilizzare esclusivamente il Google Play Store, verificando sempre lo sviluppatore e le recensioni
- Attenzione ai permessi: Se un’app semplice (come una torcia o un’app di sconti) richiede i “Servizi di Accessibilità”, è quasi certamente un malware
- Antivirus: Utilizzare soluzioni di sicurezza affidabili e mantenerle aggiornate per rilevare firme malevole come quelle di Albiriox
