【安全圈】新型 Albiriox 恶意软件攻击 Android 用户可完全控制受害者设备

一种名为 Albiriox 的新型高级 Android 恶意软件正在迅速扩散，它作为“恶意软件即服务”出售，具备完整的远程操控与金融欺诈能力。根据 Cleafy 的研究人员，该恶意程序专为在用户设备上直接实施欺诈而打造。攻击者能够在受害者的手机上实时执行银行操作，完全绕过设备指纹、行为检测与双因子认证等安全机制，以极高的隐蔽性完成资金盗取。

Albiriox 最初在 2025 年 9 月出现在封闭的地下论坛中，当时仍处于私测阶段。到了 10 月，它被公开推向黑市，以每月约 650 美元的订阅费出售。研究者认为，其背后运营团队是俄语黑客组织，他们正积极推广这款能够远程操控受害者手机的金融犯罪工具。

与传统的木马不同，Albiriox 的能力更接近于实时的远程访问系统。恶意软件内置 VNC 流屏模块，可把受害者设备的实时画面传回攻击者端，使得攻击者能够像操作自己的手机一样完成转账、登录银行、提交验证码等动作，而受害者通常毫不察觉，因为恶意软件可以以黑屏或覆盖界面隐藏这些操作。

其传播方式采用双阶段结构，以提高成功率和隐蔽性。早期攻击主要针对奥地利用户。受害者会先收到伪装成折扣消息或奖励通知的短信，短信中附有缩短链接，引导用户进入伪造的 Google Play 页面并下载伪造的 Penny Market 应用。这款应用实际上是一个 dropper，会要求启用“安装未知应用”权限，然后从攻击者的指挥控制服务器下载真正的 Albiriox 主体程序，以完全绕过 Google Play 的安全检测机制。随着攻击手法的演变，新的投放方式已经加入 WhatsApp 诱导流程，用户必须输入手机号才能获得下载链接，从而使攻击更有区域针对性，尤其集中在奥地利地区。

与传统的木马不同，Albiriox 的能力更接近于实时的远程访问系统。恶意软件内置 VNC 流屏模块，可把受害者设备的实时画面传回攻击者端，使得攻击者能够像操作自己的手机一样完成转账、登录银行、提交验证码等动作，而受害者通常毫不察觉，因为恶意软件可以以黑屏或覆盖界面隐藏这些操作。

其传播方式采用双阶段结构，以提高成功率和隐蔽性。早期攻击主要针对奥地利用户。受害者会先收到伪装成折扣消息或奖励通知的短信，短信中附有缩短链接，引导用户进入伪造的 Google Play 页面并下载伪造的 Penny Market 应用。这款应用实际上是一个 dropper，会要求启用“安装未知应用”权限，然后从攻击者的指挥控制服务器下载真正的 Albiriox 主体程序，以完全绕过 Google Play 的安全检测机制。随着攻击手法的演变，新的投放方式已经加入 WhatsApp 诱导流程，用户必须输入手机号才能获得下载链接，从而使攻击更有区域针对性，尤其集中在奥地利地区。