Questo software malevolo, offerto con un modello di abbonamento mensile, rappresenta un salto di qualità nella gestione delle frodi finanziarie.
[In pillole] La sintesi per chi va di fretta:
Albiriox, un nuovo malware per Android, è emerso come servizio in abbonamento, trasformando il crimine informatico in un settore. Venduto a 650-720 dollari al mese, permette il controllo remoto dei dispositivi, aggirando le sicurezze bancarie tramite VNC e abusi dei servizi di accessibilità. Questo 'Malware-as-a-Service' (MaaS) punta a oltre 400 app finanziarie, democratizzando le frodi e rivelando la crescente sofisticazione del mercato nero digitale. La sua diffusione si basa sull'ingegneria sociale.
Un nuovo servizio per il crimine digitale
C’è una certa tendenza, negli ultimi tempi, a trattare il crimine informatico non più come un’operazione artigianale condotta da hacker solitari, ma come un vero e proprio settore commerciale strutturato.
In questo contesto si inserisce la recente comparsa di Albiriox, un malware per dispositivi Android che non si limita a infettare i telefoni, ma viene venduto come un servizio in abbonamento, seguendo le logiche di mercato che siamo abituati a vedere per software legittimi come Netflix o Adobe.
Questo software malevolo, emerso nei forum frequentati da criminali informatici di lingua russa verso la fine di settembre 2025, rappresenta un salto di qualità preoccupante nella gestione delle frodi finanziarie.
Esso permette a chiunque sia disposto a pagare un canone mensile di accedere a strumenti sofisticati per prendere il controllo totale dei dispositivi delle vittime.
La particolarità di Albiriox non risiede tanto nella novità assoluta delle sue tecnologie, quanto nella sua accessibilità e nella professionalizzazione della sua distribuzione.
Come descritto dai ricercatori di sicurezza di Cleafy, il malware è stato inizialmente presentato come un progetto privato su canali Telegram, per poi evolversi rapidamente in un modello “Malware-as-a-Service” (MaaS).
Questo significa che lo sviluppatore non deve necessariamente essere colui che compie la frode.
Lui fornisce l’infrastruttura, il codice e gli aggiornamenti in cambio di una tariffa che, al momento del lancio pubblico in ottobre, oscillava tra i 650 e i 720 dollari al mese.
Il fatto che esista un listino prezzi e un supporto clienti per un virus informatico la dice lunga sulla maturità di questo mercato nero, dove la reputazione del venditore è tutto e la qualità del prodotto deve essere garantita per mantenere gli “abbonati”.
Albiriox è progettato per colpire su larga scala: al suo interno è stata trovata una lista codificata di oltre 400 applicazioni target.
Non si tratta solo delle classiche app bancarie.
Il malware colpisce un ventaglio che copre portafogli di criptovalute, piattaforme di trading e servizi di pagamento digitale in tutto il mondo.
Di fronte a una minaccia così trasversale, la priorità per gli istituti finanziari diverrebbe inevitabilmente lo sviluppo di applicazioni mobile dotate di architetture di sicurezza “tamper-proof”, progettate per resistere a tentativi di manipolazione esterna.
Questa ampiezza di obiettivi suggerisce che gli operatori non stiano cercando di colpire una nicchia specifica, ma vogliano massimizzare le probabilità di profitto indipendentemente da quale app finanziaria la vittima abbia installata sul proprio smartphone.
La vera pericolosità di questo software, tuttavia, risiede nel modo in cui riesce a manipolare il dispositivo infetto, aggirando le protezioni che le banche e Google hanno costruito negli anni.
La tecnica dietro la frode e l’aggiramento delle sicurezze
Per capire come agisce Albiriox, bisogna immaginare che l’attaccante sia in grado di tenere in mano il telefono della vittima, pur trovandosi dall’altra parte del mondo. Il cuore tecnologico del malware è un modulo basato su VNC (Virtual Network Computing), una tecnologia legittima usata per l’assistenza remota, che qui viene pervertita per permettere ai criminali di vedere lo schermo in tempo reale e interagire con esso.
Questo approccio è noto come On-Device Fraud (ODF), ovvero frode sul dispositivo.
Invece di rubare le password e tentare di accedere da un computer esterno (azione che verrebbe quasi certamente bloccata dai sistemi antifrode delle banche che riconoscerebbero un dispositivo o un indirizzo IP sconosciuto) il criminale opera direttamente dal telefono della vittima. Per la banca, l’operazione sembra legittima perché proviene dal dispositivo corretto, connesso alla rete abituale del cliente.
In uno scenario dove l’identità digitale è compromessa ma valida, l’unica linea di difesa efficace risiederebbe nell’implementazione di modelli di machine learning, capaci di analizzare le micro-anomalie comportamentali dell’utente e bloccare le transazioni sospette in tempo reale.
Va detto che Android dispone di diverse misure di sicurezza per impedire questo tipo di intrusioni. Una delle più note è il “FLAG_SECURE”, un comando che le app bancarie utilizzano per impedire che il contenuto dello schermo venga catturato o registrato.
È il motivo per cui, se provate a fare uno screenshot mentre siete nell’app della vostra banca, spesso ottenete un’immagine nera.
Albiriox riesce a neutralizzare questa protezione abusando dei servizi di accessibilità. Questi servizi nascono per aiutare le persone con disabilità visive o motorie a usare lo smartphone, permettendo al sistema di “leggere” cosa c’è sullo schermo e di cliccare pulsanti per conto dell’utente. Il malware si fa concedere questi permessi con l’inganno e li utilizza per trasmettere le schermate all’attaccante, bypassando il blocco delle immagini nere e permettendo la visione in chiaro di saldi, codici PIN e chiavi di accesso.
– Leggi anche: Xiaomi e i robot umanoidi: il piano quinquennale per le fabbriche del futuro
Oltre al controllo remoto, il software dispone di una serie di automatismi per il furto di credenziali. Utilizza le cosiddette “overlay injection“, ovvero sovrappone finte schermate di login a quelle reali delle applicazioni target. Quando l’utente apre la sua app di criptovalute, ad esempio, Albiriox sovrappone una finestra identica che richiede l’inserimento dei dati.
L’utente crede di accedere al servizio, ma sta in realtà digitando username e password direttamente nel database dei criminali.
Tutto questo avviene mentre il malware mantiene una connessione costante con i server di comando, pronti a inviare istruzioni per nascondere le notifiche degli SMS bancari o per oscurare lo schermo mentre il criminale svuota il conto.
Lasciando la vittima ignara di quanto sta accadendo proprio sotto il suo naso.
Eppure, per quanto sofisticato sia il software, esso ha bisogno di una porta d’ingresso per entrare nel telefono.
Ed è qui che la tecnologia lascia il passo all’ingegneria sociale.
Il ruolo dei distributori e l’ecosistema criminale
Nonostante la complessità del codice, il metodo di infezione rimane sorprendentemente tradizionale, basandosi sulla distrazione o sull’ingenuità degli utenti. Le campagne di distribuzione osservate finora, in particolare una molto aggressiva rivolta agli utenti austriaci, mostrano come gli acquirenti di Albiriox utilizzino esche mirate.
In un caso documentato, le vittime venivano attirate tramite SMS o social media su falsi siti che imitavano il Google Play Store, invitandole a scaricare un’applicazione apparentemente innocua, come quella della catena di supermercati “PENNY” per ottenere sconti e coupon.
Una volta installata, l’app — che tecnicamente funge da “dropper”, cioè da vettore di consegna — richiedeva un aggiornamento fittizio.
Accettando, l’utente scaricava e installava inconsapevolmente il payload vero e proprio di Albiriox. Questo meccanismo a due stadi è necessario per eludere i controlli di sicurezza di Google Play Protect. Il primo file scaricato è spesso “pulito” o sufficientemente offuscato da non far scattare allarmi immediati.
Solo successivamente, e spesso da server esterni controllati dai criminali, viene scaricata la parte maligna. Per rendere il tutto ancora più difficile da rilevare per gli antivirus, gli sviluppatori di Albiriox offrono integrazioni con servizi di “crypting” terzi, come quello noto con il nome di Golden Crypt.
Si tratta di strumenti che mescolano e cifrano il codice del malware affinché la sua “impronta digitale” cambi costantemente, rendendo molto difficile per i software di sicurezza riconoscerlo basandosi sulle firme dei virus noti.
La commercializzazione di strumenti come Albiriox ha “democratizzato” l’accesso a capacità offensive di alto livello.
Non serve più essere un genio dell’informatica per svuotare conti correnti: basta avere circa 700 dollari al mese e saper gestire una campagna di spam.
Questo fenomeno è confermato dalla contemporanea emersione di altri malware simili, come RadzaRat e BTMOB, che saturano il mercato offrendo funzionalità analoghe di sorveglianza e furto dati. RadzaRat, ad esempio, apparso a novembre 2025, si maschera da gestore di file per ottenere i permessi necessari, mentre BTMOB è attivo da inizio anno e si concentra sull’automazione dei furti tramite script preimpostati.
Ci troviamo quindi di fronte a un’industria in piena espansione, dove la competizione tra sviluppatori di malware porta a un continuo raffinamento delle tecniche di evasione. Mentre le multinazionali della tecnologia e le banche continuano a promuovere la sicurezza biometrica e l’autenticazione a due fattori come panacee, la realtà tecnica dimostra che quando un attaccante possiede i permessi di accessibilità e il controllo visivo del dispositivo, queste barriere diventano aggirabili.
L’utente finale, convinto che il lucchetto verde o il riconoscimento facciale lo proteggano da tutto, rimane l’anello debole di una catena dove la fiducia nel dispositivo personale viene sistematicamente tradita da software che ne prendono il possesso silenzioso.
