Представьте, что кто-то невидимый берет ваш телефон, открывает банковское приложение и переводит все ваши деньги на свой счет, а вы в этот момент даже не подозреваете, что экран вообще был активен. Это не сценарий из фантастического триллера, а суровая реальность, с которой столкнулись аналитики по кибербезопасности осенью 2025 года. Итальянская компания Cleafy обнаружила на теневых хакерских форумах анонс нового банковского трояна для Android с красивым, но зловещим именем Albiriox. Его главное отличие от предшественников – способность не просто украсть пароли, а провести полномасштабную мошенническую операцию прямо с телефона жертвы, имитируя действия самого владельца. Угрозу усугубляет бизнес-модель: русскоязычные создатели продают троян по подписке, словно легальный софт, открывая доступ к опасному инструменту даже для малоопытных мошенников.
Театр одного актера: что троянец делает на вашем устройстве
Когда Albiriox проникает в систему, он разворачивает целый арсенал для тотального контроля. Основа его власти – технология удаленного доступа VNC. Представьте, что злоумышленник получает прямую трансляцию с экрана вашего смартфона и может в реальном времени нажимать на кнопки, как будто его пальцы находятся поверх ваших. Именно это и происходит. Аналитики Cleafy подчеркивают: «Удаленное управление на основе VNC позволяет атакующим обходить традиционные механизмы аутентификации... действуя непосредственно в рамках легитимной сессии жертвы». То есть для банковских систем все выглядит так, будто операцию совершаете вы сами, со своего устройства, в привычное время.
Но как быть с защитой? Многие финансовые приложения блокируют создание скриншотов и запись экрана с помощью специального флага FLAG_SECURE. Здесь Albiriox проявляет циничную изобретательность, используя против системы ее же гуманитарные функции. Он задействует службы специальных возможностей (Accessibility services), которые созданы для помощи людям с ограниченным зрением. Эти службы имеют глубокий доступ к интерфейсу, чтобы зачитывать содержимое экрана. Троянец же использует этот доступ, чтобы «видеть», какое приложение открыто, где находится поле для ввода пароля и куда нужно нажать для подтверждения перевода. Таким образом, даже не делая скриншот, он получает полную картину происходящего.
Третий акт в этом спектакле – фишинговые окна-ловушки, или оверлеи. Допустим, вы открываете свое приложение банка. В доли секунды Albiriox накладывает поверх него идеальную копию интерфейса, с формой для ввода данных. Вы уверенно вводите логин и пароль, которые мгновенно улетают к хакерам. А если в этот момент на заднем плане уже идет несанкционированный перевод, троянец может показать вам черный экран или сообщение об «установке критического обновления», чтобы вы не заметили подозрительной активности. Эта комбинация – удаленный доступ, «зрение» через службы доступности и обманные окна – делает его чрезвычайно опасным оппонентом.
Преступление по подписке: почему троян стал доступен каждому
Самое тревожное в Albiriox – не только его техническая сложность, но и простота распространения. В октябре 2025 года его разработчики запустили модель MaaS (Malware-as-a-Service) – «вредонос как услугу». Теперь любой желающий может арендовать этот троян за 720 долларов в месяц. По сути, это франшиза для киберпреступников: вы платите абонентскую плату и получаете в распоряжение мощный инструмент с технической поддержкой и регулярными апдейтами. Это стирает границы: для организации масштабной атаки больше не нужна команда гениальных программистов, достаточно иметь стартовый капитал и криминальный настрой.
Чтобы «клиенты» могли успешно обходить антивирусы, создатели внедрили функцию кастомизации. В арсенале есть специальный конструктор, который шифрует каждый новый экземпляр троянца с помощью сервиса Golden Crypt. В результате каждый загруженный файл получает уникальную цифровую подпись. Для антивирусных программ, которые во многом полагаются на базы известных сигнатур, такой уникальный вредонос становится невидимкой, по крайней мере, на первых порах. Это как если бы вор перед каждым преступлением менял не только отпечатки пальцев, но и форму лица.
Масштаб угрозы подчеркивает и его «список целей». Внутри кода Albiriox зашита охота более чем на 400 приложений по всему миру. Под прицелом не только банки из разных стран, но и кошельки для криптовалюты, платежные системы, торговые и инвестиционные платформы, даже некоторые игровые сервисы. Такая всеядность превращает в потенциальную жертву практически любого: от студента, пользующегося мобильным кошельком, до трейдера, работающего с биржами. Угроза перестала быть точечной и стала повсеместной.
Искусство обмана: как нас заставляют впустить врага самих
Как же эта сложная программа попадает на телефон? Через старую добрую манипуляцию, доведенную до совершенства. Первая волна атак была адресной: жители Австрии начали получать SMS на немецком языке с уведомлением о бонусе от популярной сети супермаркетов Penny. Ссылка вела на фиктивную страницу, до мелочей копирующую дизайн Google Play Store, где якобы можно было скачать приложение Penny. Обман раскрывался в момент загрузки: файл приходил не из защищенного магазина Google, а прямо с хакерского сервера. Но для многих пользователей эта подмена оставалась незаметной.
Увидев, что схема работает, мошенники ее усложнили. В новой версии обмана ссылка вела уже не на прямую загрузку. На изящно сделанной странице пользователя просили оставить свой мобильный номер, чтобы «ссылку на актуальное обновление прислали в WhatsApp». Этот ход гениален: он вызывает больше доверия (ведь нам часто приходят сообщения в мессенджеры) и служит фильтром. Система принимала только австрийские номера, отсекая случайных людей. Введенные данные тут же отправлялись в Telegram-бот преступников, и на телефон жертвы приходила настоящая ссылка на вредонос.
Финальный акт – тихая диверсия. Загруженное приложение (дроппер) скромно маскируется под «обновление системы Android» и первым делом запрашивает ключевое разрешение – «разрешить установку из неизвестных источников». Многие, желая ускорить процесс, соглашаются. После этого дроппер, уже не спрашивая ни о чем, в тихом фоне скачивает и устанавливает главный модуль Albiriox. С этого момента на устройстве поселяется цифровой вор, который только и ждет момента, чтобы под прикрытием черного экрана или фальшивого интерфейса опустошить счета. Защита здесь одна: критически оценивать любое предложение что-то установить и всегда отдавать приоритет официальному магазину приложений, помня, что удобство часто бывает ловушкой.
