Cleafyは11月27日(現地時間)、「Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets|Cleafy Labs」において、Androidデバイスを標的とする新しいマルウェア「Albiriox」を特定したと報じた。

このマルウェアはマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として提供され、モバイル向け金融詐欺のあらゆる手法を網羅するという。

  • Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets|Cleafy Labs

    Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets|Cleafy Labs

公式Google Playから偽アプリを配布

このマルウェアは2025年9月にアンダーグラウンドフォーラムにてベータ版が登場し、10月に正式サービスを開始した新顔のマルウェアとされる。フォーラムの活動、言語パターン、インフラストラクチャの分析から、脅威アクターはロシア語を母国語とする人物の可能性が指摘されている。

  • マルウェアを宣伝するアンダーグラウンドフォーラムへの投稿 - 引用:Cleafy

    マルウェアを宣伝するアンダーグラウンドフォーラムへの投稿 引用:Cleafy

マルウェアの主な機能は「VNCを介したリモートアクセス」および「認証情報の収集を目的としたオーバーレイ」とされる。400以上のアプリケーション(金融機関や暗号資産関連のアプリ)に対応し、バンキング型トロイの木馬として動作する。

Cleafyは調査の過程において配布キャンペーンを特定。キャンペーンのタイミングと攻撃範囲から、首謀者はマルウェア開発者の関連組織と推定されている。配布方法はドイツ語によるソーシャルエンジニアリング攻撃とされ、主な標的はオーストリアに居住するAndroidユーザーとされる。

  • キャンペーンで使用された偽アプリの配布ページ - 引用:Cleafy

    キャンペーンで使用された偽アプリの配布ページ 引用:Cleafy

キャンペーン初期ではドイツに拠点を置くディスカウントストアチェーン「Penny Market」に偽装したアプリが配布された。配布サイトとして公式Google Playが悪用され、Googleの防御を回避したとされる。

キャンペーン後期になると攻撃者は配布方法を変更。ユーザーに電話番号の入力を求め、アプリのダウンロードリンクをメッセージングアプリ「WhatsApp」経由で送信したとされる。入力可能な電話番号がオーストリア国内に限定されていたことから、オーストリアのユーザーを標的としていたことが特定された。

影響と対策

このマルウェアはリリースから間もないこともあり、本稿執筆時点における被害は特定の地域に限定されている。しかしながら、高度な機能を搭載し、サービスとして提供されていることから、今後は世界中のAndroidユーザーを標的にする可能性がある。

Cleafyはこのようなマルウェアに対抗するため、金融機関や仮想通貨関連のアプリを開発する組織に対し、アプリに強力な検出機能を組み込むことを提案している。具体的には「クライアント側のシグナル、行動パターン、トランザクションの異常をリアルタイムで相関させる階層化された防御アプローチが必要」としている。

マルウェアの進化はとどまるところを知らない。Google Playの防御を突破し、ユーザーに気づかれることなく金融アプリから機密情報を窃取する。まるで空想の世界のような話だが、現実の脅威として存在している。

オンラインサービスを利用するすべてのユーザーには、最新のサイバーセキュリティ情報の収集および警戒の継続が望まれている。特に、Androidのアクセシビリティー機能は攻撃に悪用されるケースが多いことから、原則として許可しないことが推奨されている。