Un nuevo malware para Android llamado Albiriox se ha anunciado bajo un maniquí de malware como servicio (MaaS) para ofrecer un “espectro completo” de funciones para proveer el fraude en el dispositivo (ODF), la manipulación de la pantalla y la interacción en tiempo positivo con dispositivos infectados.
El malware incorpora una letanía codificada que comprende más de 400 aplicaciones que abarcan banca, tecnología financiera, procesadores de pagos, intercambios de criptomonedas, billeteras digitales y plataformas comerciales.
“El malware aprovecha las aplicaciones dropper distribuidas a través de señuelos de ingeniería social, combinadas con técnicas de empaquetado, para escamotear la detección estática y entregar su carga útil”, dijeron los investigadores de Cleafy Federico Valentini, Alessandro Strino, Gianluca Scotti y Simone Mattia.
Se dice que Albiriox se anunció por primera vez como parte de una período de contratación limitada a finales de septiembre de 2025, antaño de producirse a una ofrecimiento MaaS un mes a posteriori. Hay evidencia que sugiere que los actores de la amenaza son de palabra rusa según su actividad en foros de cibercrimen, patrones lingüísticos y la infraestructura utilizada.
Los clientes potenciales reciben comunicación a un creador personalizado que, según afirman los desarrolladores, se integra con un servicio de secreto de terceros conocido como Golden Crypt para evitar las soluciones antivirus y de seguridad móvil.
El objetivo final de los ataques es tomar el control de los dispositivos móviles y realizar acciones fraudulentas, todo ello sin producirse desapercibido. Al menos una campaña auténtico se ha dirigido explícitamente a víctimas austriacas aprovechando señuelos en teutónico y mensajes SMS que contienen enlaces abreviados que llevan a los destinatarios a listados falsos de aplicaciones de Google Play Store para aplicaciones como PENNY Angebote & Cupones.
Los usuarios desprevenidos que hicieron clic en el tallo “Instalar” en la página similar se ven comprometidos con un APK cuentagotas. Una vez instalada e iniciada, la aplicación les solicita que le otorguen permisos para instalar aplicaciones bajo la apariencia de una aggiornamento de software, lo que conduce a la implementación del malware principal.
Albiriox utiliza una conexión de socket TCP no cifrada para comando y control (C2), lo que permite a los actores de amenazas emitir varios comandos para controlar remotamente el dispositivo usando Aparente Network Computing (VNC), extraer información confidencial, mostrar pantallas en blanco o cabreado y subir o desmontar el prominencia para operaciones sigilosas.
Incluso instala un módulo de comunicación remoto basado en VNC para permitir que los actores de amenazas interactúen de forma remota con los teléfonos comprometidos. Una traducción del mecanismo de interacción basado en VNC utiliza los servicios de accesibilidad de Android para mostrar toda la interfaz de sucesor y los fundamentos de accesibilidad presentes en la pantalla del dispositivo.
“Este mecanismo de transmisión basado en accesibilidad está diseñado intencionalmente para evitar las limitaciones impuestas por la protección FLAG_SECURE de Android”, explicaron los investigadores.
“Cedido que muchas aplicaciones bancarias y de criptomonedas ahora bloquean la cinta de pantalla, las capturas de pantalla y la captura de pantalla cuando este indicador está adaptado, disfrutar los servicios de accesibilidad permite que el malware obtenga una sagacidad completa a nivel de nodo de la interfaz sin activar ninguna de las protecciones comúnmente asociadas con las técnicas directas de captura de pantalla”.
Al igual que otros troyanos bancarios basados en Android, Albiriox admite ataques de superposición contra una letanía codificada de aplicaciones objetivo para el robo de credenciales. Es más, puede servir como superposiciones que imitan una aggiornamento del sistema o una pantalla negra para permitir que se lleven a final actividades maliciosas en segundo plano sin designar la atención.
Cleafy dijo que además observó un enfoque de distribución levemente modificado que redirige a los usuarios a un sitio web falsificado que se hace producirse por PENNY, donde se indica a las víctimas que ingresen su número de teléfono para percibir un enlace de descarga directa a través de WhatsApp. Actualmente, la página sólo acepta números de teléfono austriacos. Los números ingresados se extraen a un bot de Telegram.
“Albiriox exhibe todas las características centrales del malware novedoso de fraude en el dispositivo (ODF), incluido el control remoto basado en VNC, la automatización basada en la accesibilidad, las superposiciones dirigidas y la cosecha dinámica de credenciales”, dijo Cleafy. “Estas capacidades permiten a los atacantes eludir los mecanismos tradicionales de autenticación y detección de fraude operando directamente interiormente de la sesión legítima de la víctima”.
La divulgación coincide con la aparición de otra aparejo MaaS de Android con nombre en código RadzaRat que se hace producirse por una utilidad legítima de sucursal de archivos, solo para desatar amplias capacidades de vigilancia y control remoto a posteriori de la instalación. El RAT se anunció por primera vez en un foro clandestino sobre cibercrimen el 8 de noviembre de 2025.
“El desarrollador del malware, que opera bajo el apelativo ‘Heron44’, ha posicionado la aparejo como una opción de comunicación remoto accesible que requiere conocimientos técnicos mínimos para implementarla y operarla”, dijo la investigadora de Certo, Sophia Taylor. “La logística de distribución refleja una preocupante democratización de las herramientas de cibercrimen”.
Lo fundamental de RadzaRat es su capacidad para organizar de forma remota el comunicación y la sucursal del sistema de archivos, lo que permite a los ciberdelincuentes explorar directorios, agenciárselas archivos específicos y descargar datos desde el dispositivo comprometido. Incluso abusa de los servicios de accesibilidad para registrar las pulsaciones de teclas de los usuarios y utilizar Telegram para C2.
Para alcanzar persistencia, el malware utiliza los permisos RECEIVE_BOOT_COMPLETED y RECEIVE_LOCKED_BOOT_COMPLETED, adjunto con un componente BootReceiver dedicado, para certificar que se inicie automáticamente al reiniciar el dispositivo. Adicionalmente, solicita el permiso REQUEST_IGNORE_BATTERY_OPTIMIZATION para eximirse de las funciones de optimización de la acumulador de Android que pueden restringir su actividad en segundo plano.
“Su disfraz de administrador de archivos pragmático, combinado con amplias capacidades de vigilancia y filtración de datos, lo convierte en una amenaza significativa tanto para usuarios individuales como para organizaciones”, dijo Certo.
Los hallazgos se producen cuando páginas de inicio falsas de Google Play Store para una aplicación indicación “GPT Trade” (“com.jxtfkrsl.bjtgsb”) han distribuido el malware BTMOB para Android y un módulo de persistencia denominado UASecurity Miner. BTMOB, documentado por primera vez por Cyble en febrero de 2025, se sabe que abusa de los servicios de accesibilidad para desbloquear dispositivos, registrar pulsaciones de teclas, automatizar el robo de credenciales mediante inyecciones y habilitar el control remoto.
Los señuelos de ingeniería social que utilizan contenido para adultos como señuelo además han apuntalado una sofisticada red de distribución de malware para Android para entregar un archivo APK sagaz muy ofuscado que solicita permisos confidenciales para superposiciones de phishing, capturas de pantalla, instalación de otro malware y manipulación del sistema de archivos.
“Emplea una edificación resistente de múltiples etapas con sitios señuelo frontales que utilizan ofuscación y secreto de nivel comercial para ocultar y conectarse dinámicamente a una infraestructura backend separada”, dijo la Pelotón 42 de Palo Suspensión Networks. “Los sitios de señuelo frontales utilizan mensajes de carga engañosos y una serie de comprobaciones, incluido el tiempo que lleva cargar una imagen de prueba, para escamotear la detección y el descomposición”.
