Albiriox: Neue Banking-Malware umgeht jede Sicherung

Eine neue Android-Schadsoftware hebelt selbst Zwei-Faktor-Authentifizierung aus. Die Cyberkriminellen steuern infizierte Smartphones per Fernzugriff – und können so unbemerkt Bankkonten plündern.

Die Bedrohung trägt den Namen Albiriox und markiert eine neue Eskalationsstufe im mobilen Banking-Betrug. Anders als bisherige Trojaner setzt diese Malware auf sogenannten On-Device Fraud (ODF): Angreifer übernehmen die vollständige Kontrolle über das Smartphone des Opfers und führen betrügerische Transaktionen direkt vom infizierten Gerät aus. Für Banksysteme sieht das aus wie eine legitime Transaktion – schließlich kommt sie vom echten Gerät des Kunden.

Das Team von Cleafy, einem auf Finanzbetrug spezialisierten Sicherheitsunternehmen, hat die Malware diese Woche analysiert. Besonders brisant: Die Software wird auf Dark-Web-Marktplätzen für 720 Euro monatlich vermietet. Über 400 Finanz-Apps weltweit stehen auf dem Zielliste – erste Angriffswellen trafen österreichische Nutzer.

Viele Android-Nutzer unterschätzen, wie leicht Schadsoftware über Freigaben und angebliche Hilfs-Apps Zugriff bekommen kann – genau das macht Albiriox so gefährlich. Ein kostenloses Sicherheitspaket fasst die 5 wichtigsten Schutzmaßnahmen für Android zusammen: Schritt-für-Schritt-Anleitungen zum Prüfen von Berechtigungen, Sperren unbekannter Quellen, Absichern von Banking-Apps und Erkennen gefälschter Links. Ideal für alle, die WhatsApp, Online-Banking oder Shopping-Apps nutzen. Gratis-Sicherheitspaket für Android herunterladen

Wie funktioniert der perfekte digitale Raubzug?

Das Herzstück von Albiriox ist der Missbrauch von Androids Barrierefreiheitsdiensten (Accessibility Services). Diese eigentlich für Menschen mit Behinderungen gedachte Funktion erlaubt Apps weitreichenden Zugriff auf das Betriebssystem.

Einmal aktiviert, installiert die Malware ein VNC-Modul (Virtual Network Computing). Die Folge: Cyberkriminelle sehen in Echtzeit den Bildschirm des Opfers – und können darauf agieren, als säßen sie direkt vor dem Gerät.

Was die Angreifer damit können:

• Einmalpasswörter abgreifen: SMS-Codes oder Authentifizierungs-App-Meldungen werden direkt vom Display abgelesen
• Banking-Apps bedienen: Die Malware tippt, wischt und navigiert selbstständig durch Menüs
• Aktivitäten verschleiern: Während im Hintergrund Überweisungen laufen, zeigt der Bildschirm eine gefälschte “System-Update”-Meldung

„Die Echtzeit-VNC-Funktion ermöglicht extrem präzisen Betrug direkt auf dem Gerät”, erklären die Cleafy-Forscher. „Da die Transaktionen vom echten Gerät und der echten IP-Adresse ausgehen, versagen typische Sicherheitsmechanismen wie Geräte-Fingerprinting oder Verhaltensanalysen.”

Österreich als Testlabor: Die Penny-Falle

Wie gelangen Kriminelle überhaupt auf die Smartphones? Im Fall von Albiriox setzten sie auf eine raffinierte Social-Engineering-Kampagne, die gezielt österreichische Nutzer ins Visier nahm.

Die Opfer erhielten SMS- oder WhatsApp-Nachrichten mit Links zu einer angeblichen App der Supermarktkette Penny. Die vermeintliche Filial-App sah täuschend echt aus – war aber lediglich ein Trojanisches Pferd.

Der zweistufige Infektionsprozess:

1. Die heruntergeladene “Penny-App” fordert Installationsrechte für Apps aus unbekannten Quellen
2. Im Hintergrund lädt sie die eigentliche Albiriox-Malware von einem Command-and-Control-Server nach

Clever: Die Kampagne nutzte Geofencing und aktivierte sich nur bei österreichischen Telefonnummern. So blieb sie zunächst unter dem Radar internationaler Sicherheitsforscher.

Malware zur Miete: Cybercrime wird zum Geschäftsmodell

Albiriox ist kein Werkzeug einer einzelnen Hackergruppe – es ist ein Produkt. Auf russischsprachigen Cybercrime-Foren wird die Schadsoftware als Malware-as-a-Service (MaaS) angeboten.

Die Geschäftsdetails:

• Mietpreis: 720 Euro monatlich (in der Beta-Phase im Oktober noch 650 Euro)
• Globale Reichweite: Vorkonfigurierte Angriffsmuster für über 400 Apps – Banken, Krypto-Wallets und Fintech-Dienste in Europa, Nordamerika und Asien
• Tarnkappen-Technologie: Integration von “Golden Crypt”, einem spezialisierten Verschleierungsdienst gegen Antiviren-Software und Google Play Protect

„Wir erleben eine Demokratisierung hochentwickelter Mobil-Malware”, kommentiert ein Sicherheitsanalyst. „Funktionen wie VNC und On-Device Fraud waren früher staatlich geförderten Spionage-Tools oder Elite-Banking-Trojanern vorbehalten. Heute kann sie jeder für 700 Euro mieten.”

Eine beunruhigende Entwicklung

Albiriox reiht sich in eine Serie gefährlicher Android-Trojaner ein. Erst im November wurde ToxicPanda analysiert, das Nutzer in Italien und Portugal angriff. Die technischen Analysen deuten jedoch auf unterschiedliche Ursprünge: Während ToxicPanda mutmaßlich aus chinesischsprachigen Kreisen stammt, wird Albiriox russischsprachigen Akteuren zugeordnet.

Was bedeutet diese schnelle Abfolge neuer Bedrohungen? Der Markt für Android-Banking-Betrug ist hart umkämpft – und hochprofitabel. Experten rechnen damit, dass Albiriox die Angriffe in den kommenden Wochen auf weitere Länder ausweiten wird.

Was Nutzer jetzt tun sollten

Drei goldene Regeln gegen Albiriox und ähnliche Bedrohungen:

1. Nur offizielle Quellen nutzen: Apps ausschließlich über den Google Play Store installieren – niemals über SMS- oder Messenger-Links
2. Berechtigungen kritisch prüfen: Barrierefreiheitsdienste sollten nur vertrauenswürdige Assistenz-Apps erhalten – nicht Supermarkt-Apps oder Spiele
3. Links manuell überprüfen: Erhaltene Links zu Händler-Apps ignorieren und stattdessen die offizielle Website direkt aufrufen

Die Bedrohungslage verschärft sich kontinuierlich. Mobile Sicherheitslösungen und regelmäßige System-Updates bleiben die wichtigsten Verteidigungslinien gegen diese neue Generation von Banking-Trojanern.

PS: Unsichere Einstellungen oder das Installieren von Apps aus SMS-Links reichen oft, damit Trojaner wie Albiriox Fuß fassen. Das kostenlose Android-Sicherheits-Paket zeigt praxisnah, welche fünf Maßnahmen sofort wirken, wie Sie verdächtige Apps erkennen und welche Einstellungen in Banking- und Messenger-Apps sinnvoll sind. Mit Checklisten zum Abhaken – schnell umgesetzt und ohne teure Zusatz-Apps. Jetzt kostenlosen Android-Schutzratgeber anfordern