Albiriox: Neue Android-Malware bedroht Banken weltweit

Eine hochgefährliche Android-Schadsoftware namens „Albiriox” versetzt die globale Finanzbranche in Alarmbereitschaft. Die diese Woche von Cybersicherheitsexperten identifizierte Malware operiert als Malware-as-a-Service (MaaS) – Kriminelle können damit die vollständige Kontrolle über infizierte Smartphones übernehmen. Über 400 Banking- und Krypto-Apps stehen bereits im Visier der Angreifer.

Besonders brisant: Albiriox umgeht selbst moderne Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung. Die Angriffe erfolgen direkt vom Gerät des Opfers aus, wodurch klassische Betrugserkennungssysteme ins Leere laufen. Was macht diese neue Bedrohung so gefährlich?

Das Threat-Intelligence-Team von Cleafy legte am 27. November einen detaillierten Bericht vor, der die technische Raffinesse von Albiriox offenlegt. Erstmals in privaten Telegram-Kanälen im September 2025 aufgetaucht, entwickelte sich die Schadsoftware innerhalb weniger Wochen zu einem kommerziellen Produkt.

Viele Android-Nutzer unterschätzen, wie schnell ein falscher Download Banking-Apps, Krypto‑Wallets und WhatsApp kompromittiert — Albiriox demonstriert das aktuell sehr deutlich. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android: sichere App‑Quellen prüfen, Berechtigungen kontrollieren, Accessibility‑Dienste absichern, automatische Updates aktivieren und verdächtige Nachrichten erkennen. Jede Maßnahme wird Schritt für Schritt erklärt und enthält praktische Checklisten für gefälschte Store‑Seiten und WhatsApp‑Links, damit Sie Ihr Gerät sofort sicherer machen können. Gratis Android‑Sicherheitspaket herunterladen

Der Vertrieb funktioniert nach klassischem Abo-Modell: Während der Beta-Phase kostete der Zugang rund 600 Euro monatlich, seit der öffentlichen Freigabe im Oktober werden 660 Euro fällig. Diese „Demokratisierung” hochentwickelter Malware senkt die Einstiegshürde für Finanzbetrug dramatisch – selbst technisch wenig versierte Kriminelle können nun professionelle Hacking-Tools mieten.

Forensische Analysen des Codes und der Werbematerialien deuten auf russischsprachige Drahtzieher hin. Die Malware wird aggressiv als Komplettlösung für „On-Device Fraud” (ODF) vermarktet – eine Methode, bei der betrügerische Transaktionen vom Gerät des Opfers selbst ausgeführt werden, um Sicherheitsprüfungen zu umgehen.

Wenn Hacker die Fernbedienung übernehmen

Anders als klassische Banking-Trojaner, die lediglich Login-Daten stehlen, zielt Albiriox auf die vollständige Geräteübernahme. Die technischen Fähigkeiten lesen sich wie ein Albtraum für IT-Sicherheitsexperten:

VNC-Fernsteuerung in Echtzeit: Angreifer sehen den Bildschirm des Opfers live und können das Smartphone fernsteuern. Sie navigieren durch Banking-Apps, autorisieren Überweisungen und ändern Einstellungen – als hielten sie das Gerät in der Hand.

Täuschend echte Overlay-Attacken: Sobald ein Nutzer seine Banking-App öffnet, legt die Malware einen gefälschten Login-Bildschirm darüber. Nutzer geben ihre Zugangsdaten direkt an die Kriminellen weiter, ohne es zu bemerken.

Aushebeln der Zwei-Faktor-Authentifizierung: Durch Kombination von Bildschirmkontrolle und Zugriff auf Accessibility-Dienste fangen die Angreifer SMS-TANs oder App-generierte Codes ab. Diese eigentlich robuste Sicherheitsschicht wird komplett nutzlos.

„Golden Crypt”-Verschleierung: Die Entwickler nutzen einen Drittanbieter-Dienst namens „Golden Crypt”, um die Malware vor Antivirus-Software zu verstecken. Das Ergebnis: Die Schadsoftware bleibt über längere Zeiträume vollständig unentdeckt.

Perfide Verbreitung über Shopping-Köder

Die Infektion erfolgt über ausgeklügelte Social-Engineering-Kampagnen. Forscher beobachteten eine mehrstufige Angriffskette, die gezielt die Schutzmaßnahmen des Google Play Store umgeht.

Eine Kampagne richtete sich speziell gegen österreichische Nutzer. Per SMS erhielten Opfer Links mit vermeintlichen Rabatten oder Gewinnspielen bekannter Einzelhandelsketten wie „Penny Markt”. Die Links führten zu gefälschten Websites, die den Google Play Store täuschend echt nachbildeten.

In einer aktuellen Variante kommt WhatsApp ins Spiel: Opfer geben auf gefälschten Landing-Pages ihre Telefonnummer ein und erhalten anschließend den Download-Link per WhatsApp. Dieser zusätzliche Schritt hilft Angreifern, potenzielle Opfer zu filtern und automatisierte Sicherheitsscanner zu umgehen.

Die heruntergeladene App – getarnt als legitime Einzelhandels- oder System-Update-Anwendung – fungiert als „Dropper”. Dieses kleine Programm fordert die Berechtigung zur Installation unbekannter Apps an und lädt dann die eigentliche Albiriox-Nutzlast von einem Command-and-Control-Server nach.

Paradigmenwechsel im mobilen Banking-Betrug

Das Auftauchen von Albiriox markiert einen kritischen Wendepunkt in der Mobile-Banking-Sicherheit. Finanzinstitute verlassen sich zunehmend auf Device Fingerprinting – die Analyse einzigartiger Geräteeigenschaften zur Betrugserkennung.

Doch genau hier liegt die Crux: Weil Albiriox Transaktionen direkt vom vertrauenswürdigen Gerät des Opfers ausführt, läuft diese Erkennungsmethode ins Leere. „Albiriox zeigt alle Kernmerkmale moderner On-Device-Fraud-Malware”, konstatieren die Cleafy-Forscher. „Diese Fähigkeiten ermöglichen es Angreifern, traditionelle Authentifizierungs- und Betrugserkennungsmechanismen zu umgehen, indem sie direkt innerhalb der legitimen Sitzung des Opfers operieren.”

Die Entwicklung erinnert an berüchtigte Android-Banking-Trojaner wie Teabot und SharkBot – allerdings mit professionellerer kommerzieller Infrastruktur. Der Wechsel zum Service-Modell deutet darauf hin, dass die Entwickler stetige Einnahmequellen priorisieren statt selbst Angriffe durchzuführen. Das könnte zu einer breiteren Verbreitung über verschiedene Kriminellennetzwerke führen.

Was kommt auf uns zu?

Sicherheitsexperten rechnen damit, dass die Albiriox-Betreiber ihre Zielliste weiter ausbauen werden. Bereits jetzt sind große Banken und Krypto-Wallets in Europa, Nordamerika und Asien betroffen. Die Nutzung professioneller Verschleierungsdienste signalisiert die Absicht, langfristig auf infizierten Geräten zu persistieren.

Finanzinstitute werden in den kommenden Wochen ihre Betrugserkennungsmodelle anpassen müssen, um Verhaltensmuster VNC-basierter Fernzugriffe besser zu identifizieren. Google und andere Ökosystem-Verteidiger dürften ihre Bemühungen intensivieren, die in diesen Kampagnen genutzten Dropper-Apps zu kennzeichnen.

Für Verbraucher bleibt die Empfehlung eindringlich: Niemals Apps außerhalb des offiziellen Google Play Store installieren. Unaufgeforderte SMS oder WhatsApp-Nachrichten mit exklusiven Angeboten sollten mit äußerster Vorsicht behandelt werden. Wie Albiriox eindrucksvoll demonstriert, kann ein einziger unüberlegter Klick die vollständige Kompromittierung des digitalen Finanzlebens bedeuten.

PS: Albiriox macht deutlich, wie schnell ein einziger Klick zur kompletten Konto‑Gefahr werden kann. Holen Sie sich das kostenlose Android‑Sicherheitspaket mit den fünf wichtigsten Schutzmaßnahmen – inklusive Checklisten für verdächtige Links, Anleitungen zum Prüfen von App‑Berechtigungen und Tipps zum Absichern von WhatsApp und Banking‑Apps. In wenigen Minuten eingerichtet, reduziert es Ihr Risiko deutlich. Jetzt kostenloses Android‑Schutzpaket anfordern