Les chercheurs en sécurité viennent de lever le voile sur Albiriox, un nouveau malware Android conçu pour vider comptes bancaires et portefeuilles crypto depuis le smartphone infecté. Distribué clés en main, il change d’apparence, adapte ses leurres et contourne les protections d’Android avec une facilité inquiétante.
Découvert au début de l’automne par l’équipe Threat Intelligence de Cleafy, Albiriox s’impose comme une nouvelle génération de malware Android pensé pour la fraude bancaire et crypto opérée directement sur l’appareil ciblé. D’abord réservé à quelques affiliés triés sur le volet, il s’est rapidement transformé en offre commerciale accessible sur abonnement. En quelques semaines, ce Malware-as-a-Service (MaaS), combinant dropper et prise de contrôle à distance, a montré une capacité d’évolution rapide qui laisse entrevoir un potentiel de diffusion bien plus large que celui observé dans ses premières campagnes.
Du SMS piégé à la fraude sur appareil
Dans la première campagne observée, les victimes recevaient un SMS renvoyant vers une fausse page Google Play Store. L’interface reprenait fidèlement les codes visuels de la boutique officielle et poussait au téléchargement d’une APK frauduleuse usurpant l’identité de Penny Market, chaîne de supermarchés discount populaire dans la région DACH. Une fois lancée, ce dropper déclenchait un faux écran de mise à jour pour inciter l’internaute à autoriser l’installation d’applications de sources inconnues, permission permettant ensuite aux opérateurs de télécharger et déployer Albiriox sur le smartphone infecté, sans autre interaction requise.
Quelques jours plus tard, la méthode évoluait déjà, à la fois pour court-circuiter les contre-mesures opposées par les dispositifs de protection, mais aussi par souci d’optimisation. Le dropper réapparaissait au terme d’un faux parcours promotionnel autour d’offres carburant, débouchant sur un formulaire réclamant un numéro de téléphone. La victime recevait dans la foulée un lien raccourci menant à l’APK malveillante, cette fois déguisée en application liée au concours auquel elle pensait participer, mais remplissant toujours la même fonction de dropper chargé de préparer l’installation du malware.
Une fois actif, Albiriox établit une connexion persistante vers un serveur C2 pour exfiltrer les informations du smartphone infecté et récupérer les instructions de ses opérateurs. Le cœur du dispositif repose sur un module de prise en main à distance inspiré des solutions VNC, permettant aux attaquants d’accéder à l’affichage de l’écran en temps réel, de naviguer dans les menus, de saisir du texte, de lancer des applications, bref piloter l’ensemble de l’interface. Cette capacité de contrôle total s’appuie sur les services d’accessibilité d’Android pour ensuite permettre aux cybercriminels d’ouvrir les applications bancaires et crypto de la victime, de saisir des ordres, de détourner des fonds et de valider des transactions à sa place.
Au total, Cleafy indique avoir identifié plus de 400 applications ciblées par Albiriox, des services bancaires traditionnels aux principaux portefeuilles et plateformes du secteur crypto. On y retrouve notamment Metamask, Coinbase, BitPay Wallet ainsi qu’une longue liste d’autres services plébiscités par les utilisateurs et utilisatrices.
Une campagne ciblée qui pourrait traverser les frontières
Ces premières campagnes semblent avoir été pensées pour cibler exclusivement des utilisateurs et utilisatrices autrichiens, mais le modèle même d’Albiriox ne laisse aucun doute sur son potentiel d’extension. Le malware est vendu comme un service, avec un kit de phishing clés en main et un parcours d’infection qui peut être adapté en quelques heures à n’importe quelle région du monde, d’où l’importance de rester extrêmement vigilant.
Par conséquent, ne cliquez jamais sur des liens raccourcis reçus par SMS ou via WhatsApp, quels qu’ils soient, à plus forte raison quand ils proviennent d’expéditeurs inconnus.
De manière générale, méfiez-vous de toute application distribuée en dehors du Play Store. Ne téléchargez jamais d’APK dont vous ne connaissez pas l’origine et ne désactivez sous aucun prétexte Play Protect. Surveillez les permissions demandées à l’installation, en particulier les droits d’accessibilité, qui ne devraient être accordés qu’à des applications d’assistance ou d’aide à la navigation destinées aux personnes malvoyantes ou en situation de handicap, jamais à une appli de supermarché ou à un service prétendument promotionnel.
Source : Cleafy
