Un nuevo malware para Android llamado Albiriox se promocionó bajo un modelo de malware como servicio (MaaS) para ofrecer un “espectro completo” de funciones para facilitar el fraude en el dispositivo (ODF), la manipulación de la pantalla y la interacción en tiempo real con dispositivos infectados.
El malware incorpora una lista codificada de más de 400 aplicaciones en banca, tecnología financiera, procesadores de pagos, intercambios de criptomonedas, billeteras digitales y plataformas comerciales.
“El malware utiliza aplicaciones de cuentagotas distribuidas a través de señuelos de ingeniería social, combinadas con técnicas de empaquetado para evadir la detección estática y entregar su carga útil”, dijeron los investigadores de Cleafy Federico Valentini, Alessandro Strino, Gianluca Scotti y Simone Mattia.
Se dice que Albiriox se anunció inicialmente como parte de un período de contratación limitado a finales de septiembre de 2025, antes de cambiar a una oferta MaaS un mes después. Según su actividad en foros de cibercrimen, sus patrones lingüísticos y la infraestructura que utilizan, hay evidencia de que los actores de amenazas hablan ruso.
Los clientes potenciales obtienen acceso a un creador personalizado que, según los desarrolladores, se integra con un servicio de cifrado de terceros llamado Golden Crypt para evitar las soluciones antivirus y de seguridad móvil.
El objetivo final de los ataques es hacerse con el control de los dispositivos móviles y realizar acciones fraudulentas pasando desapercibidos. Al menos una campaña inicial se dirigió explícitamente a las víctimas austriacas mediante el uso de señuelos en alemán y mensajes SMS con enlaces abreviados que llevan a los destinatarios a listas de aplicaciones falsas en Google Play Store para aplicaciones como PENNY Offers & Cupones.
Los usuarios desprevenidos que hicieron clic en el botón “Instalar” en la página similar se ven comprometidos con un APK cuentagotas. Una vez instalada y ejecutada la aplicación, le solicita que le otorgue permisos para instalar aplicaciones bajo la apariencia de una actualización de software, lo que conduce a la propagación del malware principal.
Albiriox utiliza una conexión TCP Socket no cifrada para comando y control (C2), que permite a los actores de amenazas emitir varios comandos para controlar remotamente el dispositivo usando Virtual Network Computing (VNC), extraer información confidencial, mostrar pantallas en blanco o negro y aumentar/disminuir el volumen para operaciones sigilosas.
También se instala un módulo de acceso remoto basado en VNC para permitir que los actores de amenazas interactúen de forma remota con los teléfonos comprometidos. Una versión del mecanismo de interacción basado en VNC aprovecha los servicios de accesibilidad de Android para mostrar toda la interfaz de usuario y los elementos de accesibilidad presentes en la pantalla del dispositivo.
“Este mecanismo de transmisión basado en accesibilidad fue diseñado intencionalmente para evitar las limitaciones impuestas por la protección FLAG_SECURE de Android”, explicaron los investigadores.
“Dado que muchas aplicaciones bancarias y de criptomonedas ahora bloquean grabaciones de pantalla, capturas de pantalla y capturas de pantalla cuando esta bandera está habilitada, aprovechar los servicios de accesibilidad permite que el malware obtenga una vista completa a nivel de nodo de la interfaz sin activar ninguna de las protecciones comúnmente asociadas con las técnicas de captura directa de pantalla”.
Al igual que otros troyanos bancarios basados en Android, Albiriox admite ataques de superposición contra una lista codificada de aplicaciones objetivo para el robo de credenciales. Además, pueden servir como superposiciones que imitan una actualización del sistema o una pantalla negra para ejecutar actividades maliciosas en segundo plano sin llamar la atención.
Cleafy dijo que también observó un enfoque de distribución ligeramente diferente que redirige a los usuarios a un sitio web falso que se hace pasar por PENNY, donde se pide a las víctimas que ingresen su número de teléfono para recibir un enlace de descarga directa a través de WhatsApp. Actualmente, el sitio sólo acepta números de teléfono austriacos. Los números ingresados se extraen a un bot de Telegram.
“Albiriox tiene todas las características principales del malware ODF (fraude en el dispositivo) moderno, incluido el control remoto basado en VNC, automatización accesible, superposiciones dirigidas y recopilación dinámica de credenciales”, dijo Cleafy. “Estas capacidades permiten a los atacantes eludir los mecanismos tradicionales de autenticación y detección de fraude actuando directamente dentro de la sesión legítima de la víctima”.
La divulgación coincide con la aparición de otra herramienta MaaS de Android, con nombre en código RadzaRat, que se hace pasar por un programa legítimo de administración de archivos solo para desbloquear amplias capacidades de monitoreo y control remoto una vez instalado. La RAT se promovió por primera vez el 8 de noviembre de 2025 en un foro clandestino sobre ciberdelincuencia.
“El desarrollador del malware, que utiliza el seudónimo 'Heron44', ha posicionado la herramienta como una solución accesible y de acceso remoto que requiere conocimientos técnicos mínimos para implementarla y operarla”, dijo la investigadora de Certo, Sophia Taylor. “La estrategia de distribución refleja una preocupante democratización de las herramientas de cibercrimen”.
En el corazón de RadzaRat está la capacidad de organizar de forma remota el acceso y la administración del sistema de archivos, lo que permite a los ciberdelincuentes explorar directorios, buscar archivos específicos y descargar datos desde el dispositivo comprometido. También abusa de los servicios de accesibilidad para registrar las pulsaciones de teclas de los usuarios y utilizar Telegram para C2.
Para lograr persistencia, el malware utiliza los permisos RECEIVE_BOOT_COMPLETED y RECEIVE_LOCKED_BOOT_COMPLETED, así como un componente BootReceiver dedicado para garantizar que se inicie automáticamente al reiniciar el dispositivo. Además, solicita el permiso REQUEST_IGNORE_BATTERY_OPTIMIZATION para eximirse de las funciones de optimización de la batería de Android que podrían limitar la actividad en segundo plano.
“Su disfraz de administrador de archivos funcional combinado con amplias capacidades de vigilancia y filtración de datos lo convierte en una amenaza significativa tanto para usuarios individuales como para organizaciones”, dijo Certo.
Según los hallazgos, las páginas de inicio falsas de Google Play Store para una aplicación llamada “GPT Trade” (“com.jxtfkrsl.bjtgsb”) distribuyeron el malware BTMOB para Android y un módulo de persistencia llamado UASecurity Miner. Documentado por primera vez por Cyble en febrero de 2025, se sabe que BTMOB abusa de las funciones de accesibilidad para desbloquear dispositivos, registrar pulsaciones de teclas, automatizar el robo de credenciales mediante inyecciones y habilitar el control remoto.
Los señuelos de ingeniería social que utilizan contenido para adultos como cebo también han facilitado que una sofisticada red de distribución de malware para Android entregue un archivo APK malicioso muy ofuscado que solicita permisos confidenciales para superposiciones de phishing, capturas de pantalla, instalación de otro malware y manipulación del sistema de archivos.
“Aprovecha una arquitectura resistente y de múltiples niveles con páginas señuelo de front-end que utilizan ofuscación comercial y cifrado para ocultar y conectarse dinámicamente a una infraestructura backend separada”, dijo la Unidad 42 de Palo Alto Networks. “Las páginas señuelo de front-end utilizan mensajes de carga engañosos y una serie de comprobaciones, incluido el tiempo que lleva cargar una imagen de prueba, para evadir la detección y el análisis”.
About The Author
