Albiriox: Android-Trojaner nimmt Bankkonten in Echtzeit ins Visier

Eine neue Malware-Bedrohung alarmiert Cybersecurity-Experten. Albiriox übernimmt nicht nur die Kontrolle über Android-Geräte – die Schadsoftware führt Finanztransaktionen in Echtzeit aus, während Angreifer den Bildschirm live mitverfolgen. Besonders brisant: Eine aktuelle Kampagne tarnt sich als Penny-App und zielt gezielt auf österreichische Nutzer.

Das Threat Intelligence Team von Cleafy entdeckte Ende November die Malware, die seit September in geschlossenen Cybercrime-Foren kursiert. Was die Forscher fanden, übersteigt herkömmliche Banking-Trojaner bei weitem. Albiriox agiert als professioneller Malware-as-a-Service – für 720 Dollar monatlich können Kriminelle die Software mieten und eigene Angriffe starten.

Die Zahlen verdeutlichen das Ausmaß der Bedrohung: Über 400 Banking-Apps, Krypto-Wallets und Fintech-Dienste stehen auf der fest codierten Zielliste. Von klassischen Banken über Trading-Plattformen bis zu Zahlungsdienstleistern – praktisch jede Finanz-App ist im Visier.

Viele Android-Nutzer übersehen diese fünf grundlegenden Schutzmaßnahmen, die genau vor Droppern und On-Device-Fraud-Angriffen schützen können. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie Berechtigungen prüfen, Installationen aus unbekannten Quellen verhindern und Ihr Mobilgerät für Banking, PayPal und Messenger absichern – inklusive konkreter Checkliste für SMS- und WhatsApp-Links. Der Leitfaden kommt als leicht verständliches PDF direkt per E-Mail. Gratis-Sicherheitspaket: Die 5 Schutzmaßnahmen für Ihr Android herunterladen

Die Attacke auf österreichische Nutzer zeigt perfides Kalkül. Opfer erhalten SMS mit vermeintlichen Rabattaktionen von Penny Markt. Der Link führt auf eine täuschend echte Kopie des Google Play Stores. Dort wartet die vermeintliche “Penny Angebote & Coupons”-App zum Download.

Der eigentliche Clou: Die heruntergeladene App ist nur der Dropper. Sie wirkt harmlos, fordert aber kurz nach dem Start weitreichende Berechtigungen an – angeblich für ein “System-Update”. Genehmigt der Nutzer die Installation aus unbekannten Quellen oder die Bedienungshilfen, lädt die App im Hintergrund die eigentliche Schadsoftware nach.

In späteren Kampagnenphasen verfeinerten die Angreifer ihre Methode. Eine gefälschte Webseite prüfte eingegebene Telefonnummern auf österreichische Vorwahlen. Nur bei positiver Prüfung versendete das System den Download-Link per WhatsApp oder SMS. Die gesammelten Nummern landeten direkt bei einem Telegram-Bot der Kriminellen.

On-Device Fraud: Angriff vom eigenen Smartphone aus

Albiriox markiert eine technische Eskalation. Das Prinzip On-Device Fraud (ODF) hebelt klassische Sicherheitsmechanismen aus. Statt gestohlene Zugangsdaten von fremden Geräten zu nutzen, führt die Malware Transaktionen direkt auf dem Smartphone des Opfers aus.

Für Banksysteme sieht es so aus, als würde der legitime Kunde sein eigenes Gerät nutzen. Geräte-Fingerabdrücke stimmen, die IP-Adresse passt, alle Sicherheitschecks sind grün.

VNC-Fernsteuerung in Echtzeit

Das technische Arsenal der Malware beeindruckt durch Raffinesse:

Virtual Network Computing (VNC): Angreifer sehen den Bildschirm des Opfers in Echtzeit und steuern das Gerät fern. Sie geben PINs ein, tätigen Überweisungen und bestätigen 2-Faktor-Authentifizierungen – während das Opfer nichts davon mitbekommt.

AcVNC-Technik: Viele Banking-Apps blockieren Screenshots und Screen-Recording durch FLAG_SECURE. Albiriox umgeht diese Sperre elegant. Die Malware nutzt Bedienungshilfen, um UI-Elemente direkt auszulesen und den Bildschirm für Angreifer sichtbar zu rekonstruieren.

Golden Crypt: Der integrierte Verschleierungsdienst macht die Malware für Antiviren-Scanner unsichtbar. Statische Analysetools erkennen die schädliche Natur nicht – die Branche nennt dies “Fully Undetectable” (FUD).

Russischsprachige Akteure hinter professionellem MaaS-Modell

Die Analyse deutet auf russischsprachige Cyberkriminelle als Drahtzieher hin. Foren-Aktivitäten, Code-Sprache und Infrastruktur sprechen eine eindeutige Sprache. Dies unterscheidet Albiriox von der kürzlich diskutierten Malware ToxicPanda, die vermutlich aus China stammt.

Der Markt für mobile Malware diversifiziert sich. Verschiedene kriminelle Gruppen entwickeln konkurrierende Produkte und treiben ein regelrechtes Wettrüsten voran. Die Integration professioneller Verschleierungsdienste senkt die Einstiegshürde dramatisch. Jeder, der 720 Dollar monatlich investiert, erhält Zugang zu einem Werkzeug für weltweiten Bankbetrug.

Der Preis stieg übrigens nicht zufällig. Die hohe Nachfrage nach dem 21. Oktober führte zur Erhöhung von ursprünglich 650 Dollar – ein Zeichen für den “Erfolg” der Malware in kriminellen Kreisen.

Was kommt als Nächstes?

Google und Sicherheitsanbieter werden ihre Erkennungssignaturen anpassen. Google Play Protect dürfte Updates gegen die Penny-Dropper und Golden-Crypt-Verschleierung erhalten. Doch die Gefahr bleibt akut.

Das MaaS-Modell garantiert kontinuierliche Weiterentwicklung. Die Entwickler haben ein finanzielles Interesse daran, Erkennungsmechanismen zu umgehen. Zu erwarten sind:

• Neue Tarnungen: Nach Penny Markt könnten DHL, Amazon oder lokale Banken als Köder dienen
• Steigende Verbreitung: Mit dem Erfolg werden mehr Kriminelle das Abo abschließen
• Mögliche iOS-Angriffe: Obwohl technisch schwieriger, suchen Kriminelle verstärkt nach Wegen ins Apple-Ökosystem

Der beste Schutz: Prävention

Apps niemals über Links in SMS oder WhatsApp herunterladen. Die einzige sichere Quelle bleibt der offizielle Google Play Store. Verlangt eine App Zugriff auf Bedienungshilfen (Accessibility Services), sollten alle Alarmglocken schrillen – dies ist fast immer ein Indikator für einen Angriffsversuch.

Die unverschlüsselte TCP-Socket-Kommunikation mit dem Command-and-Control-Server mag nach einer Schwachstelle aussehen. Tatsächlich ermöglicht sie aber extrem schnelle und stabile Datenübertragung für das Screen-Streaming – essenziell für den Echtzeit-Betrug.

Das Katz-und-Maus-Spiel zwischen Cyberkriminellen und Sicherheitsexperten geht in die nächste Runde. Albiriox zeigt eindrücklich: Die Bedrohung wird professioneller, die Angriffe raffinierter. Wachsamkeit bleibt die wichtigste Verteidigungslinie.

PS: Diese fünf Maßnahmen machen Ihr Android-Gerät spürbar sicherer – Tipp 3 schließt die Lücke, die Dropper wie die gefälschte Penny-App ausnutzen. Der Gratis-Guide liefert praktische Checklisten, erklärt Berechtigungen und Bedienungshilfen verständlich und zeigt, wie Sie SMS- und WhatsApp-Links sicher prüfen, App-Installationen stoppen und Ihr Banking schützen. Ideal für alle, die PayPal, Mobile-Banking oder Messenger nutzen. Jetzt Android-Sicherheitspaket kostenlos anfordern