Hoe u Albiriox-malware van uw Android-apparaat kunt verwijderen

Wat voor soort malware is Albiriox?

Albiriox is een geavanceerde Android-specifieke RAT (Remote Access Trojan) met uitgebreide mogelijkheden voor banktrojanen. De lijst met doelwitten omvat meer dan 400 banken en financiële dienstverleners.

Deze malware verscheen voor het eerst in september 2025 en werd een maand later aangeboden als MaaS (Malware-as-a-Service). Op het moment van schrijven wordt Albiriox actief verder ontwikkeld. Er zijn aanwijzingen dat de beheerders van de RAT Russisch spreken.

Overzicht van Albiriox-malware

De bekende Albiriox-infecties maakten gebruik van een dropper. Deze toonde het slachtoffer een valse "Systeemupdate"-interface die om verschillende machtigingen vroeg. Het was van cruciaal belang dat het machtigingen kreeg om de Android Accessibility Services te gebruiken en om applicaties van derden te installeren ("Onbekende apps installeren"). Zodra deze machtigingen waren verleend, infiltreerde de dropper Albiriox.

Het gebruik van een dropper is niet de enige anti-detectietechniek die door deze infectie wordt gebruikt. De payload (Albiriox) wordt dynamisch uitgepakt en bevat versleutelde code. De operators van de malware bieden ook een extra anti-detectietool van een andere ontwikkelaar aan.

Na een succesvolle infiltratie wordt er via een onversleutelde TCP-socketverbinding communicatie tot stand gebracht met de C&C-server (Command and Control). De eerste actie is het verzamelen van relevante apparaatgegevens en deze naar de C&C-server te sturen (bijv. hardware-ID, smartphonemodel, Android OS-versie, enz.).

Als Remote Access Trojan (RAT) maakt Albiriox externe toegang tot en controle over geïnfecteerde machines mogelijk. Albiriox biedt een mate van controle die dicht bij het gebruikersniveau ligt. Het introduceert een op VNC (Virtual Network Computing) gebaseerde module voor externe toegang. De trojan maakt realtime interactie met het geïnfecteerde apparaat mogelijk. Het kan het scherm live streamen, interactie hebben met de interface, gebaren simuleren (bijv. klikken, drukken, vegen, enz.) en verschillende opdrachten uitvoeren. Albiriox is dus in staat om in realtime kwaadaardige activiteiten uit te voeren.

De RAT kan drie soorten overlays weergeven: schermen die zich voordoen als legitieme systeemupdates, black-outschermen om alle activiteiten te verbergen en phishing-schermen die echte applicaties nabootsen.

Toegankelijkheidsservices zijn bedoeld om gebruikers die dat nodig hebben te helpen bij de interactie met hun apparaat. Door misbruik te maken van deze services krijgen kwaadaardige programma's alle mogelijkheden (bijvoorbeeld het scherm lezen, het touchscreen simuleren, interactie met het toetsenbord, enz.). De Android-toegankelijkheidsservices zijn cruciaal voor Albiriox bij het uitvoeren van frauduleuze transacties en andere financiële operaties, aangezien veel gerelateerde applicaties pogingen tot het maken van screenshots en schermopnames blokkeren of waarschuwen.

Op het moment van onderzoek bevatte Albiriox meer dan 400 hardgecodeerde doelwitten, waaronder bankieren, betalingsverwerking, cryptocurrency-uitwisseling, cryptowallet en andere financiële apps. Meer dan de helft van de applicaties heeft betrekking op cryptocurrency en meer dan honderd zijn bankapps. Het net dat door deze malware wordt uitgeworpen is wereldwijd; de beoogde diensten zijn niet beperkt tot één enkele regio.

Albiriox verzamelt een lijst met geïnstalleerde software. Het volgt geopende applicaties en kan deze zelf starten. Tijdens de interactie met het apparaat in realtime kan de trojan de zwarte overlay gebruiken en activiteiten verbergen, zoals frauduleuze transacties en overboekingen.

Zodra een interessante app wordt gestart, kan Albiriox een overlay-aanval uitvoeren. Dit houdt in dat de software wordt bedekt met een phishing-scherm dat het origineel perfect imiteert en ingevoerde informatie registreert (bijv. ID's, wachtwoorden, wachtzinnen, 2FA/MFA-codes, persoonlijk identificeerbare informatie, creditcard-/debetkaartnummers, enz.).

Enkele andere opdrachten die Albiriox op apparaten kan uitvoeren, zijn onder meer: gegevens voor het vergrendelen van apparaten (bijv. patroon, wachtwoord of pincode) ophalen/resetten/verwijderen, 'Recente apps' openen, de knop/optie 'Terug' en 'Home' selecteren, het apparaat in de slaapstand zetten, het apparaat activeren, het volume verhogen/verlagen, apps verwijderen, tekst invoeren in geselecteerde velden, enzovoort.

Het is de moeite waard om te herhalen dat Albiriox op het moment van schrijven nog in ontwikkeling is. Daarom kunnen toekomstige varianten van deze RAT extra/andere mogelijkheden en functies hebben.

Samenvattend kan de aanwezigheid van kwaadaardige software zoals Albiriox op apparaten leiden tot ernstige privacyproblemen, aanzienlijke financiële verliezen en identiteitsdiefstal.

Voorbeelden van Android-specifieke trojans voor externe toegang

We hebben over talrijke kwaadaardige programma's geschreven; Fantasy Hub, BankBot, Asur, G700 en BingoMod zijn slechts enkele van onze artikelen over RAT's die gericht zijn op Android-apparaten.

Trojaanse paarden voor externe toegang kunnen ongelooflijk veelzijdig zijn en stellen aanvallers in staat om volledige controle over apparaten te krijgen. Maar hoe malware ook werkt, de aanwezigheid ervan op het systeem brengt de integriteit van het apparaat en de privacy van de gebruiker in gevaar. Daarom moeten alle bedreigingen onmiddellijk na detectie worden verwijderd.

Hoe is Albiriox op mijn apparaat terechtgekomen?

Zoals eerder vermeld, wordt Albiriox als MaaS aangeboden op hackerforums. Hoe het wordt verspreid, kan dus afhangen van de cybercriminelen die het gebruiken (d.w.z. de methoden kunnen per aanval verschillen).

De eerste bekende campagne vond plaats vóór de MaaS-release van de trojan in oktober 2025. Het was een kleine en beperkte campagne, gericht op Oostenrijkse gebruikers. Het begon met sms-spam met een verkorte URL die ontvangers naar een website leidde die een Duitstalige Google Play Store-pagina imiteerde. Het promootte een nep-applicatie voor de Penny-discountsupermarktketen. De dropper van Albiriox werd rechtstreeks vanaf deze frauduleuze webpagina gedownload.

In een andere versie van de Penny-campagne was de download van de dropper indirect. Op de pagina stond dat de downloadlink via WhatsApp Messenger zou worden verzonden en werd gebruikers gevraagd hun telefoonnummer op te geven.

Om dit nader toe te lichten: gebruikers kregen de instructie om het tankstation te selecteren waarvoor ze korting wilden ontvangen, "aan een rad te draaien" voor het kortingsbedrag en hun telefoonnummer in te voeren, met de belofte dat een vertegenwoordiger snel contact met hen zou opnemen. De campagne was geografisch beperkt en verzamelde alleen Oostenrijkse nummers, die vervolgens naar de Telegram-bot van de cybercriminelen werden gestuurd.

Andere vermommingen en verspreidingstechnieken zijn zeer waarschijnlijk. Social engineering en phishing-tactieken zijn standaard. Meestal worden kwaadaardige programma's gepresenteerd als of gebundeld met normale inhoud.

De meest voorkomende methoden voor de verspreiding van malware zijn: onbetrouwbare downloadkanalen (bijv. freeware- en gratis filehostingsites, P2P-netwerken, app stores van derden, enz.), drive-by (heimelijke misleidende) downloads, online oplichting, kwaadaardige bijlagen of links in spam (bijv. e-mails, PM's/DM's, sms'jes, posts op sociale media, enz.), malvertising, illegale content, illegale software-activeringstools ("cracks") en valse updates.

Sommige kwaadaardige programma's kunnen zich zelf verspreiden via lokale netwerken en verwijderbare opslagapparaten (bijvoorbeeld externe harde schijven, USB-sticks, enz.).

Hoe voorkom je de installatie van malware?

Voorzichtigheid is van het grootste belang om de veiligheid van apparaten en gebruikers te waarborgen. Doe daarom altijd onderzoek naar software door de voorwaarden en beoordelingen van experts/gebruikers te lezen, de vereiste machtigingen te controleren en de legitimiteit van de ontwikkelaar te verifiëren. Download alleen van officiële en geverifieerde bronnen. Activeer en update programma's met behulp van originele functies/tools, aangezien die van derden malware kunnen bevatten.

Wees voorzichtig bij het surfen, want het internet staat vol met valse en schadelijke inhoud. Open geen bijlagen of links in verdachte/irrelevante berichten (bijv. e-mails, privéberichten/directe berichten, sms'jes, enz.).

Het is van het grootste belang om een gerenommeerd antivirusprogramma te installeren en up-to-date te houden. Beveiligingssoftware moet worden gebruikt om regelmatig systeemscans uit te voeren en actieve en potentiële bedreigingen te verwijderen.

Screenshot van een valse Google Play Store-pagina die Albiriox verspreidt (bron afbeelding – Cleafy LABS):

Screenshot van Albiriox gepromoot op een hackerforum (bron afbeelding – Cleafy LABS):

Snelmenu:

• Inleiding
• Hoe verwijder je de browsegeschiedenis uit de Chrome-webbrowser?
• Hoe schakel je browsermeldingen uit in de Chrome-webbrowser?
• Hoe reset ik de Chrome-webbrowser?
• Hoe verwijder ik de browsegeschiedenis uit de Firefox-webbrowser?
• Hoe schakel je browsermeldingen uit in de Firefox-webbrowser?
• Hoe reset ik de Firefox-webbrowser?
• Hoe verwijder je mogelijk ongewenste en/of schadelijke applicaties?
• Hoe start ik het Android-apparaat op in de "veilige modus"?
• Hoe controleer ik het batterijverbruik van verschillende applicaties?
• Hoe kan ik het gegevensverbruik van verschillende applicaties controleren?
• Hoe installeer ik de nieuwste software-updates?
• Hoe kan ik het systeem terugzetten naar de standaardinstellingen?
• Hoe schakel ik applicaties met beheerdersrechten uit?

Verwijder de browsegeschiedenis uit de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt verwijderen en tik op "Gegevens wissen".

[Terug naar de inhoudsopgave]

Schakel browsermeldingen uit in de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.

Scroll naar beneden totdat je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden totdat je de optie "Meldingen" ziet en tik erop.

Zoek de websites die browsermeldingen versturen, tik erop en klik op "Wissen en opnieuw instellen". Hierdoor worden de machtigingen die aan deze websites zijn verleend om meldingen te versturen, verwijderd. Wanneer u dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemmingen wilt verlenen of niet (als u ervoor kiest om te weigeren, gaat de website naar het gedeelte "Geblokkeerd" en zal deze u niet langer om toestemming vragen).

[Terug naar de inhoudsopgave]

De Chrome-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "OPSLAG BEHEREN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle gegevens die daarin zijn opgeslagen, verwijdert. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

Verwijder de browsegeschiedenis uit de Firefox-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Scroll naar beneden totdat u "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die u wilt verwijderen en tik op "GEGEVENS WISSEN".

[Terug naar de inhoudsopgave]

Schakel browsermeldingen uit in de Firefox-webbrowser:

Ga naar de website die browsermeldingen verstuurt, tik op het pictogram links van de URL-balk (het pictogram is niet noodzakelijkerwijs een "Slot") en selecteer "Site-instellingen bewerken".

Kies in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".

[Terug naar de inhoudsopgave]

De Firefox-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u de applicatie "Firefox" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat bij het resetten van de browser alle opgeslagen gegevens worden verwijderd. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

Verwijder mogelijk ongewenste en/of schadelijke applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u een mogelijk ongewenste en/of schadelijke applicatie ziet, selecteer deze en tik op "Verwijderen". Als u om een of andere reden de geselecteerde app niet kunt verwijderen (bijvoorbeeld omdat u een foutmelding krijgt), kunt u de "Veilige modus" gebruiken.

[Terug naar de inhoudsopgave]

Start het Android-apparaat op in "Veilige modus":

De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle applicaties van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van schadelijke applicaties die u hiervan weerhouden wanneer het apparaat "normaal" werkt).

Druk op de knop "Power" en houd deze ingedrukt totdat het scherm "Power off" verschijnt. Tik op het pictogram "Power off" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Safe Mode" en kunt u deze uitvoeren door het apparaat opnieuw op te starten.

[Terug naar de inhoudsopgave]

Controleer het batterijverbruik van verschillende applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Apparaatonderhoud" ziet en tik erop.

Tik op "Batterij" en controleer het gebruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo min mogelijk energie te verbruiken om de beste gebruikerservaring te bieden en stroom te besparen. Een hoog batterijverbruik kan daarom erop wijzen dat de applicatie kwaadaardig is.

[Terug naar de inhoudsopgave]

Controleer het gegevensgebruik van verschillende applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Verbindingen" ziet en tik erop.

Scroll naar beneden totdat u "Datagebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/echte applicaties ontworpen om het datagebruik zo veel mogelijk te beperken. Dit betekent dat een enorm datagebruik kan duiden op de aanwezigheid van een kwaadaardige applicatie. Houd er rekening mee dat sommige kwaadaardige applicaties mogelijk zijn ontworpen om alleen te werken wanneer het apparaat is verbonden met een draadloos netwerk. Controleer daarom zowel het mobiele datagebruik als het wifi-datagebruik.

Als u een applicatie vindt die veel data verbruikt, ook al gebruikt u deze nooit, dan raden wij u ten zeerste aan om deze zo snel mogelijk te verwijderen.

[Terug naar de inhoudsopgave]

Installeer de nieuwste software-updates:

Het up-to-date houden van de software is een goede gewoonte als het gaat om de veiligheid van apparaten. De fabrikanten van apparaten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.

Ga naar "Instellingen", scroll naar beneden totdat je "Software-update" ziet en tik erop.

Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Als dat het geval is, installeer ze dan onmiddellijk. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen. Hierdoor wordt het systeem ingesteld om u te waarschuwen zodra er een update beschikbaar is en/of deze automatisch te installeren.

[Terug naar de inhoudsopgave]

Het systeem terugzetten naar de standaardstatus:

Het uitvoeren van een "fabrieksreset" is een goede manier om alle ongewenste applicaties te verwijderen, de systeeminstellingen terug te zetten naar de standaardinstellingen en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.

U kunt ook de basisinstellingen van het systeem en/of alleen de netwerkinstellingen herstellen.

Ga naar "Instellingen", scroll naar beneden totdat u "Over de telefoon" ziet en tik erop.

Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen resetten" - herstel alle systeeminstellingen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - herstel alle netwerkinstellingen naar de standaardinstellingen;
"Fabrieksinstellingen herstellen" - reset het hele systeem en verwijder alle opgeslagen gegevens volledig;

[Terug naar de inhoudsopgave]

Schakel applicaties met beheerdersrechten uit:

Als een kwaadaardige applicatie beheerdersrechten krijgt, kan dit ernstige schade aan het systeem veroorzaken. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de apps die dat niet zouden moeten hebben, uitschakelen.

Ga naar "Instellingen", scroll naar beneden totdat u "Vergrendelingsscherm en beveiliging" ziet en tik erop.

Scroll naar beneden totdat u "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "App's voor apparaatbeheer".

Identificeer applicaties die geen beheerdersrechten zouden moeten hebben, tik erop en tik vervolgens op "DEACTIVATE".

Veelgestelde vragen (FAQ)

Mijn Android-apparaat is geïnfecteerd met Albiriox-malware. Moet ik mijn opslagapparaat formatteren om ervan af te komen?

Waarschijnlijk niet, aangezien het verwijderen van malware zelden zulke drastische maatregelen vereist.

Wat zijn de grootste problemen die Albiriox-malware kan veroorzaken?

De gevaren van een infectie zijn afhankelijk van de mogelijkheden van de malware en de doelstellingen van de aanvallers. Albiriox is een trojan voor externe toegang die zich richt op het stelen van financiële gegevens. Over het algemeen kan de aanwezigheid van dergelijke software leiden tot ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.

Wat is het doel van Albiriox-malware?

Winst is veruit de meest voorkomende motivatie achter malware-aanvallen, en de capaciteiten van Albiriox zijn hierop gericht. Andere veel voorkomende redenen zijn het zoeken naar amusement of persoonlijke wrok door de aanvallers, verstoring van processen (bijv. websites, diensten, bedrijven, enz.), hacktivisme en politieke/geopolitieke motieven.

Hoe is de Albiriox-malware op mijn Android-apparaat terechtgekomen?

Albiriox is verspreid via valse Google Play-pagina's als een kortingsapp voor een legitieme supermarktketen. Andere distributiemethoden zijn waarschijnlijk.

Malware verspreidt zich voornamelijk via drive-by downloads, verdachte downloadbronnen (bijv. freeware en gratis filehostingsites, P2P-netwerken, app stores van derden, enz.), online oplichting, spam, malvertising, illegale content, tools voor het illegaal activeren van software ("cracking") en valse updates. Sommige kwaadaardige programma's kunnen zichzelf verspreiden via lokale netwerken en verwijderbare opslagapparaten.

Beschermt Combo Cleaner mij tegen malware?

Combo Cleaner kan de meeste bekende malware-infecties detecteren en verwijderen. Houd er rekening mee dat het uitvoeren van een volledige systeemscan essentieel is, aangezien geavanceerde kwaadaardige programma's zich doorgaans diep in systemen verbergen.