Un nuevo malware para Android llamado Albiriox se promociona como basado en un modelo de malware como servicio (MaaS) que ofrece una «gama completa» de funciones que facilitan el fraude en el dispositivo (ODF), la manipulación de pantalla y la interacción en tiempo real con dispositivos infectados.
El malware está integrado con una lista codificada de más de 400 aplicaciones que abarcan banca, tecnología financiera, procesadores de pagos, intercambios de criptomonedas, billeteras digitales y plataformas comerciales.
«Este malware combina una aplicación de cuentagotas distribuida a través de señuelos de ingeniería social con técnicas de empaquetado para evadir la detección estática y entregar su carga útil», dijeron los investigadores de Clafy Federico Valentini, Alessandro Strino, Gianluca Scotti y Simone Mattia.
Albiriox se anunció por primera vez como parte de una fase de adopción limitada a finales de septiembre de 2025 y se dice que hizo la transición a un servicio MaaS un mes después. Hay evidencia que sugiere que los actores de amenazas hablan ruso en función de su actividad en foros de cibercrimen, patrones lingüísticos y la infraestructura utilizada.
El desarrollador afirma que los clientes potenciales tendrán acceso a un creador personalizado que se integra con un servicio de cifrado de terceros conocido como Golden Crypt para evitar las soluciones antivirus y de seguridad móvil.
El objetivo final del ataque es hacerse con el control del dispositivo móvil y realizar actividades fraudulentas sin ser detectadas. Al menos una de las primeras campañas se dirigió explícitamente a víctimas austriacas mediante incentivos en alemán y mensajes SMS que contenían enlaces abreviados que dirigían a los destinatarios a listados falsos de aplicaciones de Google Play Store para aplicaciones como PENNY Angebote & Cupones.
Los usuarios desprevenidos que hacen clic en el botón «Instalar» en una página similar están infectados con el APK cuentagotas. Una vez que la aplicación se instala y se inicia, solicita permiso para instalarla bajo la apariencia de una actualización de software, lo que conduce a la implementación principal del malware.
Albiriox utiliza conexiones de socket TCP no cifradas para comando y control (C2), lo que permite a los atacantes emitir varios comandos para controlar de forma remota dispositivos usando computación de red virtual (VNC), extraer información confidencial, mostrar una pantalla en blanco o negro y aumentar o disminuir el volumen para operaciones sigilosas.
También instala un módulo de acceso remoto basado en VNC que permite a los atacantes interactuar con teléfonos comprometidos de forma remota. Una versión del mecanismo de interacción basado en VNC aprovecha los servicios de accesibilidad de Android para mostrar toda la interfaz de usuario y los elementos de accesibilidad que están presentes en la pantalla del dispositivo.
«Este mecanismo de transmisión basado en accesibilidad está diseñado intencionalmente para eludir las limitaciones impuestas por la protección FLAG_SECURE de Android», explicaron los investigadores.
«Muchas aplicaciones bancarias y de criptomonedas actualmente bloquean la grabación de pantalla, capturas de pantalla y capturas de pantalla cuando esta bandera está habilitada, por lo que al aprovechar los servicios de accesibilidad, el malware puede obtener una vista completa a nivel de nodo de la interfaz sin activar protecciones comúnmente asociadas con técnicas de captura directa de pantalla».
Al igual que otros troyanos bancarios basados en Android, Albiriox admite ataques de superposición contra una lista codificada de aplicaciones objetivo para el robo de credenciales. Además, puede actuar como una superposición que imita las actualizaciones del sistema o una pantalla negra, lo que le permite realizar actividades maliciosas en segundo plano sin llamar la atención.
Clafy dijo que también observó un enfoque de distribución ligeramente modificado que redirigía a los usuarios a un sitio web falso que se hacía pasar por PENNY. Allí, se indica a las víctimas que ingresen su número de teléfono para recibir un enlace de descarga directamente a través de WhatsApp. Actualmente, esta página solo acepta números de teléfono austriacos. El número que ingreses será extraído al bot de Telegram.
«Albiriox exhibe todas las características principales del malware moderno de fraude en el dispositivo (ODF), incluido el control remoto basado en VNC, la automatización basada en la accesibilidad, las superposiciones dirigidas y la recolección dinámica de credenciales», dijo Clafy. «Estas capacidades permiten a los atacantes eludir los mecanismos tradicionales de autenticación y detección de fraude operando directamente dentro de la sesión legítima de la víctima».
Esta divulgación coincide con la aparición de otra herramienta MaaS de Android, cuyo nombre en código es RadzaRat, que se hace pasar por una utilidad legítima de administración de archivos y desbloquea amplias capacidades de monitoreo y control remoto después de la instalación. El RAT se anunció por primera vez en foros clandestinos sobre ciberdelincuencia el 8 de noviembre de 2025.
«El desarrollador del malware, que opera bajo el alias ‘Heron44’, posiciona la herramienta como una solución de acceso remoto accesible que requiere conocimientos técnicos mínimos para implementarla y operarla», afirmó la investigadora de Certo, Sophia Taylor. «Esta estrategia de distribución refleja la cuestión de democratizar las herramientas contra el cibercrimen».
En el corazón de RadzaRat está la capacidad de ajustar de forma remota el acceso y la administración del sistema de archivos, lo que permite a los ciberdelincuentes explorar directorios, buscar archivos específicos y descargar datos de dispositivos comprometidos. También explota los servicios de accesibilidad para registrar las pulsaciones de teclas de los usuarios y utiliza Telegram para C2.
Para lograr persistencia, el malware utiliza los permisos RECEIVE_BOOT_COMPLETED y RECEIVE_LOCKED_BOOT_COMPLETED junto con un componente BootReceiver dedicado para garantizar que se inicie automáticamente al reiniciar el dispositivo. Además, solicita el permiso REQUEST_IGNORE_BATTERY_OPTIMIZATION para excluirse de las funciones de optimización de la batería de Android que pueden limitar la actividad en segundo plano.
«Su capacidad para hacerse pasar por un administrador de archivos funcional, combinada con amplias capacidades de monitoreo y extracción de datos, lo convierte en una amenaza importante tanto para los usuarios individuales como para las organizaciones», dijo Certo.
Este descubrimiento se reveló después de que una página de inicio falsa de Google Play Store (“com.jxtfkrsl.bjtgsb”) para una aplicación llamada “GPT Trade” distribuyera malware BTMOB para Android y un módulo de persistencia llamado UASecurity Miner. BTMOB fue documentado por primera vez por Cyble en febrero de 2025 y se sabe que abusa de los servicios de accesibilidad para desbloquear dispositivos, registrar pulsaciones de teclas, automatizar el robo de credenciales mediante inyección y habilitar el control remoto.
Los señuelos de ingeniería social que utilizan contenido para adultos como señuelo también sustentan sofisticadas redes de distribución de malware para Android que entregan archivos APK maliciosos altamente ofuscados que solicitan permisos confidenciales para superposiciones de phishing, capturas de pantalla, instalación de otro malware y manipulación del sistema de archivos.
«Utilizamos ofuscación y cifrado de nivel comercial para ocultar una infraestructura back-end separada y empleamos una arquitectura resistente de varios niveles con sitios señuelo front-end que se conectan dinámicamente», dijo la Unidad 42 de Palo Alto Networks. «El sitio señuelo front-end utiliza una serie de comprobaciones, incluidos mensajes de carga fraudulentos y el tiempo que tardan las imágenes de prueba en cargarse, para evadir la detección y el análisis».
Source link
