Come rimuovere il malware Albiriox dal tuo dispositivo Android

Che tipo di malware è Albiriox?

Albiriox è un sofisticato RAT (Remote Access Trojan) specifico per Android con ampie funzionalità di trojan bancario. Il suo elenco di obiettivi comprende oltre 400 banche e servizi finanziari.

Questo malware è apparso per la prima volta nel settembre 2025 ed è stato successivamente offerto come MaaS (Malware-as-a-Service) un mese dopo. Al momento della stesura di questo articolo, Albiriox è in fase di sviluppo attivo. Le prove dimostrano che gli operatori del RAT sono di lingua russa.

Panoramica sul malware Albiriox

Le infezioni note di Albiriox si basavano su un dropper. Presentava alla vittima una falsa interfaccia di "Aggiornamento del sistema" che richiedeva varie autorizzazioni. Fondamentalmente, aveva bisogno di ottenere le autorizzazioni per utilizzare i servizi di accessibilità Android e per installare applicazioni di terze parti ("Installa app sconosciute"). Una volta concesse, il dropper infiltrava Albiriox.

L'utilizzo di un dropper non è l'unica tecnica anti-rilevamento utilizzata da questa infezione. Il payload (Albiriox) viene decompresso dinamicamente e vanta un codice offuscato. Gli operatori del malware offrono anche un ulteriore strumento anti-rilevamento sviluppato da un altro programmatore.

Una volta infiltrato con successo, stabilisce una comunicazione con il proprio server C&C (Command and Control) tramite una connessione TCP Socket non crittografata. La prima azione consiste nel raccogliere i dati rilevanti del dispositivo e inviarli al server C&C (ad esempio, ID hardware, modello di smartphone, versione del sistema operativo Android, ecc.).

In quanto trojan di accesso remoto (RAT), Albiriox consente l'accesso e il controllo remoto dei computer infetti. Albiriox offre un livello di controllo simile a quello dell'utente. Introduce un modulo di accesso remoto basato su VNC (Virtual Network Computing). Il trojan consente l'interazione in tempo reale con il dispositivo infetto. È in grado di trasmettere in streaming lo schermo, interagire con l'interfaccia, simulare gesti (ad esempio clic, pressioni, scorrimento, ecc.) ed eseguire vari comandi. Pertanto, Albiriox è in grado di eseguire attività dannose in tempo reale.

Il RAT può visualizzare tre tipi di overlay: schermate che simulano aggiornamenti di sistema legittimi, schermate di oscuramento per nascondere tutte le attività e schermate di phishing che imitano applicazioni autentiche.

I servizi di accessibilità sono progettati per assistere gli utenti che ne hanno bisogno nell'interazione con i dispositivi. Abusando di questi servizi, i programmi dannosi acquisiscono tutte le loro funzionalità (ad esempio, leggere lo schermo, simulare il touchscreen, interagire con la tastiera, ecc.). I servizi di accessibilità Android sono fondamentali per Albiriox quando effettua transazioni fraudolente e altre operazioni finanziarie, poiché molte applicazioni correlate bloccano o avvisano dei tentativi di screenshot e registrazione dello schermo.

Al momento della ricerca, Albiriox includeva oltre 400 obiettivi hardcoded, tra cui applicazioni bancarie, di elaborazione dei pagamenti, di scambio di criptovalute, di cryptowallet e altre applicazioni finanziarie. Oltre la metà delle applicazioni riguarda le criptovalute e oltre un centinaio sono applicazioni bancarie. La rete creata da questo malware è mondiale; i servizi presi di mira non sono limitati a una singola regione.

Albiriox raccoglie un elenco dei software installati. Tiene traccia delle applicazioni aperte e può avviarle autonomamente. Interagendo con il dispositivo in tempo reale, il trojan può utilizzare la sovrapposizione nera e nascondere attività quali transazioni e trasferimenti fraudolenti.

Una volta avviata un'app di interesse, Albiriox può eseguire un attacco di tipo overlay. Ciò comporta la copertura del software con una schermata di phishing che imita perfettamente l'originale e registra le informazioni inserite (ad esempio, ID, password, passphrase, codici 2FA/MFA, informazioni di identificazione personale, numeri di carte di credito/debito, ecc.).

Alcuni degli altri comandi che Albiriox può eseguire sui dispositivi includono: ottenere/reimpostare/rimuovere i dati di blocco del dispositivo (ad esempio, sequenza, password o PIN), aprire "App recenti", selezionare il pulsante/l'opzione "Indietro" e "Home", mettere il dispositivo in modalità di sospensione, riattivare il dispositivo, aumentare/ridurre il volume, disinstallare app, inserire testo nei campi selezionati e così via.

Vale la pena ribadire che, al momento della stesura di questo articolo, Albiriox è ancora in fase di sviluppo. Pertanto, le future varianti di questo RAT potrebbero avere funzionalità e caratteristiche aggiuntive/diverse.

In sintesi, la presenza di software dannosi come Albiriox sui dispositivi può causare gravi problemi di privacy, perdite finanziarie significative e furti di identità.

Esempi di trojan di accesso remoto specifici per Android

Abbiamo scritto di numerosi programmi dannosi; Fantasy Hub, BankBot, Asur, G700 e BingoMod sono solo alcuni dei nostri articoli sui RAT che prendono di mira i dispositivi Android.

I trojan di accesso remoto possono essere incredibilmente versatili e consentono agli aggressori di assumere il controllo totale dei dispositivi. Tuttavia, indipendentemente dal modo in cui opera il malware, la sua presenza nel sistema mette a rischio l'integrità del dispositivo e la privacy dell'utente. Pertanto, tutte le minacce devono essere rimosse immediatamente dopo il rilevamento.

Come ha fatto Albiriox a infiltrarsi nel mio dispositivo?

Come accennato in precedenza, Albiriox è offerto come MaaS sui forum degli hacker. Pertanto, le modalità di distribuzione possono dipendere dai criminali informatici che lo utilizzano (ovvero, i metodi possono variare da un attacco all'altro).

La prima campagna nota ha avuto luogo prima del rilascio del trojan MaaS nell'ottobre 2025. Si trattava di una campagna di piccole dimensioni e limitata, rivolta agli utenti austriaci. È iniziata con SMS spam contenenti un URL abbreviato che indirizzava i destinatari a un sito web che imitava una pagina in lingua tedesca di Google Play Store. Promuoveva una falsa applicazione per la catena di supermercati discount Penny. Il dropper di Albiriox veniva scaricato direttamente da questa pagina web fraudolenta.

In un'altra versione della campagna Penny, il download del dropper era indiretto. La pagina indicava che il link per il download sarebbe stato inviato tramite WhatsApp Messenger e richiedeva agli utenti di fornire il proprio numero di telefono.

Per essere più precisi, agli utenti veniva chiesto di selezionare la stazione di servizio presso la quale desideravano ricevere gli sconti, di "girare una ruota" per ottenere l'importo dello sconto e di inserire il proprio numero di telefono con la promessa di essere ricontattati rapidamente da un rappresentante. La campagna era geo-bloccata e raccoglieva solo numeri austriaci, che venivano poi inviati al bot Telegram dei criminali informatici.

Altre tecniche di camuffamento e proliferazione sono altamente probabili. Le tattiche di ingegneria sociale e phishing sono standard. Di solito, i programmi dannosi vengono presentati come contenuti normali o in bundle con essi.

I metodi di distribuzione del malware più diffusi includono: canali di download non affidabili (ad esempio, siti di freeware e di hosting gratuito di file, reti di condivisione P2P, app store di terze parti, ecc.), download drive-by (furtivi e ingannevoli), truffe online, allegati o link dannosi contenuti in spam (ad esempio, e-mail, messaggi privati/diretti, SMS, post sui social media, ecc.), malvertising, contenuti piratati, strumenti di attivazione software illegali ("crack") e aggiornamenti falsi.

Alcuni programmi dannosi possono diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, unità flash USB, ecc.).

Come evitare l'installazione di malware?

La cautela è fondamentale per garantire la sicurezza del dispositivo e dell'utente. Pertanto, è necessario sempre informarsi sul software leggendo i termini e le recensioni di esperti/utenti, controllando le autorizzazioni richieste e verificando la legittimità dello sviluppatore. Scaricare solo da fonti ufficiali e verificate. Attivare e aggiornare i programmi utilizzando funzioni/strumenti originali, poiché quelli ottenuti da terze parti possono contenere malware.

Presta attenzione durante la navigazione, poiché Internet è pieno di contenuti falsi e dannosi. Non aprire allegati o link presenti in comunicazioni sospette/irrilevanti (ad esempio e-mail, messaggi privati/diretti, SMS, ecc.).

È fondamentale installare un antivirus affidabile e mantenerlo aggiornato. È necessario utilizzare un software di sicurezza per eseguire scansioni regolari del sistema e rimuovere le minacce attive e potenziali.

Screenshot di una pagina falsa del Google Play Store che diffonde Albiriox (fonte immagine – Cleafy LABS):

Screenshot di Albiriox promosso su un forum di hacker (fonte immagine – Cleafy LABS):

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come ripristinare il browser web Chrome?
• Come eliminare la cronologia di navigazione dal browser web Firefox?
• Come disattivare le notifiche del browser nel browser web Firefox?
• Come ripristinare il browser web Firefox?
• Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "Modalità provvisoria"?
• Come controllare l'utilizzo della batteria delle varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare le impostazioni predefinite del sistema?
• Come disabilitare le applicazioni che dispongono dei privilegi di amministratore?

Elimina la cronologia di navigazione dal browser Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.

Trova i siti web che inviano notifiche al browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno rimossi i permessi concessi a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente il permesso. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutare, il sito web passerà alla sezione "Bloccato" e non ti chiederà più l'autorizzazione).

[Torna al Sommario]

Reimposta il browser web Chrome:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Memoria".

Tocca "GESTISCI MEMORIA", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Elimina la cronologia di navigazione dal browser web Firefox:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Firefox:

Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente una "Lucchetto") e seleziona "Modifica impostazioni sito".

Nel pop-up aperto, seleziona l'opzione "Notifiche" e tocca "CANCELLA".

[Torna al Sommario]

Reimposta il browser web Firefox:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Memoria".

Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avvia il dispositivo Android in "Modalità provvisoria":

La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premere il pulsante "Accensione" e tenerlo premuto fino a quando non viene visualizzata la schermata "Spegnimento". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità provvisoria" che potrà essere eseguita riavviando il dispositivo.

[Torna al Sommario]

Controlla l'utilizzo della batteria delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.

Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il meno possibile, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato consumo della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controlla l'utilizzo dei dati delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.

Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo eccessivo dei dati può indicare la presenza di applicazioni dannose. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è necessario controllare sia l'utilizzo dei dati mobili che quello del Wi-Fi.

Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installa gli ultimi aggiornamenti software:

Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza dei dispositivi. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui è necessario assicurarsi sempre che il software del dispositivo sia aggiornato.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.

Tocca "Scarica gli aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica gli aggiornamenti automaticamente": in questo modo il sistema ti avviserà quando sarà disponibile un aggiornamento e/o lo installerà automaticamente.

[Torna al Sommario]

Ripristina il sistema alle impostazioni predefinite:

Eseguire un "ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, inclusi foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.

È anche possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.

Scorri verso il basso fino a visualizzare "Ripristina" e toccalo. Ora scegli l'azione che desideri eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattiva le applicazioni che dispongono dei privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi di amministratore, può danneggiare gravemente il sistema. Per mantenere il dispositivo il più sicuro possibile, è necessario controllare sempre quali app dispongono di tali privilegi e disabilitare quelle che non dovrebbero averli.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.

Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e poi tocca "App di amministrazione dispositivo".

Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo Android è stato infettato dal malware Albiriox, devo formattare il mio dispositivo di archiviazione per eliminarlo?

Probabilmente no, poiché la rimozione di malware raramente richiede misure così drastiche.

Quali sono i problemi più gravi che può causare il malware Albiriox?

I pericoli derivanti da un'infezione dipendono dalle capacità del malware e dagli obiettivi degli aggressori. Albiriox è un trojan di accesso remoto incentrato sul furto di dati finanziari. In generale, la presenza di tale software può causare gravi problemi di privacy, perdite finanziarie e furti di identità.

Qual è lo scopo del malware Albiriox?

Il profitto è di gran lunga la motivazione più comune alla base degli attacchi malware, e le capacità di Albiriox sono orientate proprio a questo. Altre ragioni prevalenti includono la ricerca di divertimento o vendette personali da parte degli aggressori, l'interruzione di processi (ad esempio siti, servizi, aziende, ecc.), l'hacktivismo e motivazioni politiche/geopolitiche.

Come ha fatto il malware Albiriox a infiltrarsi nel mio dispositivo Android?

Albiriox è stato diffuso tramite pagine Google Play contraffatte come app di sconto per una catena di supermercati legittima. Sono probabili altri metodi di distribuzione.

Il malware si diffonde principalmente attraverso download drive-by, fonti di download sospette (ad esempio, siti di freeware e di hosting di file gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), truffe online, posta spam, malvertising, contenuti piratati, strumenti di attivazione illegale di software ("cracking") e aggiornamenti falsi. Alcuni programmi dannosi possono diffondersi autonomamente tramite reti locali e dispositivi di archiviazione rimovibili.

Combo Cleaner mi proteggerà dai malware?

Combo Cleaner è in grado di rilevare ed eliminare la maggior parte delle infezioni da malware conosciute. È importante ricordare che è fondamentale eseguire una scansione completa del sistema, poiché i programmi dannosi più sofisticati tendono a nascondersi nelle profondità dei sistemi.