Albiriox: Android-Banking-Trojaner nutzt Weihnachtsstress aus

Sicherheitsforscher warnen einen Tag vor Heiligabend vor einer massiven Angriffswelle. Cyberkriminelle zielen mit dem hochgefährlichen Android-Banking-Trojaner Albiriox gezielt auf das Weihnachtsgeschäft ab. Der Schädling tarnt sich als harmlose App und ermöglicht Angreifern die volle Kontrolle über infizierte Geräte. Eine spezifische Kampagne hat Nutzer in Österreich und Deutschland im Visier.

Das Timing ist kein Zufall. In den letzten 72 Stunden verzeichneten Analysten einen signifikanten Anstieg von Smishing-Attacken per SMS. Die Täter spekulieren auf die Unaufmerksamkeit in der vorweihnachtlichen Hektik. Typische Köder-Texte sind:
* “Ihr Paket hängt im Verteilzentrum fest. Bitte Gebühren begleichen.”
* “Letzte Chance: Ihr 50€ Weihnachts-Gutschein von [Supermarkt] läuft ab.”

Klickt ein Nutzer auf den Link, landet er auf einer gefälschten Google-Play-Store-Seite. Von dort wird die Schadapp heruntergeladen – und der Trojaner installiert sich. An Feiertagen ist die Erfolgsquote solcher Angriffe traditionell am höchsten.

Smishing-Links sehen oft harmlos aus – führen aber auf gefälschte Stores, über die Trojaner wie Albiriox installiert werden. Ein kostenloses Anti-Phishing-Paket erklärt in 4 klaren Schritten, wie Sie SMS- und E‑Mail-Phishing erkennen, gefälschte Apps entlarven und Geräte sofort sichern. Für Privatpersonen und Firmen-Teams, die sich gegen SMS-basierte Angriffe schützen wollen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Gefälschte Penny-App als perfider Köder

Die Albiriox-Welle fällt durch regionale Anpassung auf. Eine aggressive Kampagne nutzte die Marke des Discounters Penny. Nutzer erhielten SMS mit dem Angebot exklusiver Weihnachtsrabatte über eine App namens “PENNY Angebote & Coupons”.

Die Fälschung sieht dem Original täuschend ähnlich. Nach der Installation fordert sie jedoch umfassende Zugriffsrechte, insbesondere auf die Android-Bedienungshilfen. Wer diese gewährt, verliert die Kontrolle: Die Malware kann dann selbstständig Bildschirmeingaben tätigen, Apps öffnen und Sicherheitssperren umgehen.

Technischer Albtraum: So arbeitet der Trojaner

Albiriox setzt auf “On-Device Fraud”. Der Betrug findet direkt auf dem Smartphone des Opfers statt und umgeht so viele Sicherheitsvorkehrungen der Banken. Seine Fähigkeiten sind erschreckend:
* Live-Fernsteuerung: Angreifer sehen den Bildschirm des Opfers in Echtzeit und steuern das Gerät aus der Ferne.
* 2FA-Umgehung: SMS-TANs werden abgefangen und weitergeleitet. Da die Transaktion vom eigenen Gerät kommt, schlagen Bank-Alarme oft nicht an.
* Tarnung: Während im Hintergrund Konten geleert werden, schaltet Albiriox den Bildschirm schwarz oder stellt den Ton stumm.

Die Malware zielt auf über 400 Apps ab, darunter fast alle gängigen Banking- und Krypto-Anwendungen.

Malware-as-a-Service: Das Geschäft hinter den Angriffen

Der Aufstieg von Albiriox spiegelt den Trend zu “Malware-as-a-Service” wider. Die Entwickler vermieten die Schadsoftware an andere Kriminelle. Berichten zufolge kostet ein monatliches Abonnement in Untergrund-Foren zwischen 650 und 720 US-Dollar.

“Wir sehen eine Demokratisierung von High-End-Malware”, erklären Analysten. “Früher brauchte man tiefes technisches Wissen. Heute reicht eine Kreditkarte im Darknet.” Die Professionalität zeigt sich auch in der Infrastruktur: Albiriox nutzt ausgeklügelte Verschleierungstechniken, um Googles automatische Scanner auszutricksen.

Was 2026 droht: Ein digitales Wettrüsten

Experten rechnen damit, dass die Albiriox-Welle bis weit in den Januar anhalten wird. Nach Weihnachten dienen oft “Rücksende”- oder “Umtausch”-Aktionen als neue Köder für Phishing-SMS.

Für 2026 zeichnet sich ein Wettlauf ab. Während Google die Sicherheit in Android weiter verschärft, finden Malware-Entwickler stets neue Lücken. Die nächste Stufe könnte KI-generierte Phishing-SMS in perfektem Deutsch sein.

PS: Wussten Sie, dass viele erfolgreiche Angriffe mit einfachen Social-Engineering-Tricks starten? Der kostenlose Guide zeigt praxisnahe Verteidigungsmaßnahmen – von der Erkennung verdächtiger SMS bis zur Schulung von Mitarbeitern. Inklusive Checkliste gegen CEO-Fraud und branchenspezifischen Handlungsempfehlungen. Kostenlosen Anti-Phishing-Guide anfordern