Un nuevo malware para Android llamado Albiriox se ha anunciado bajo un modelo de malware como servicio (MaaS) para ofrecer un «espectro completo» de funciones para facilitar el fraude en el dispositivo (ODF), la manipulación de la pantalla y la interacción en tiempo real con los dispositivos infectados.
El malware incorpora una lista codificada que comprende más de 400 aplicaciones que abarcan la banca, la tecnología financiera, los procesadores de pagos, los intercambios de criptomonedas, las carteras digitales y las plataformas de negociación.
«El malware aprovecha las aplicaciones de cuentagotas distribuidas a través de señuelos de ingeniería social, combinadas con técnicas de empaquetado, para evadir la detección estática y entregar su carga útil», dijeron los investigadores de Cleafy Federico Valentini, Alessandro Strino, Gianluca Scotti y Simone Mattia dijo .
Se dice que Albiriox se anunció por primera vez como parte de una fase de contratación limitada a finales de septiembre de 2025, antes de pasar a una oferta de MaaS un mes después. Hay pruebas que sugieren que los actores de la amenaza hablan ruso debido a su actividad en los foros de ciberdelincuencia, los patrones lingüísticos y la infraestructura utilizada.
Los clientes potenciales tienen acceso a un creador personalizado que, según afirman los desarrolladores, se integra con un servicio de cifrado de terceros conocido como Golden Crypt para eludir las soluciones antivirus y de seguridad móvil.
El objetivo final de los ataques es tomar el control de los dispositivos móviles y llevar a cabo acciones fraudulentas, todo ello sin pasar desapercibido. Al menos una campaña inicial estaba dirigida explícitamente a las víctimas austríacas, utilizando señuelos en alemán y mensajes SMS con enlaces abreviados que llevaban a los destinatarios a anuncios falsos de aplicaciones como PENNY Angebote y Coupons en Google Play Store.
Los usuarios desprevenidos que hayan hecho clic en el botón «Instalar» de una página similar se ven comprometidos con un APK de cuentagotas. Una vez instalada y lanzada, la aplicación les pide que le concedan permiso para instalar aplicaciones bajo la apariencia de una actualización de software, lo que lleva al despliegue del malware principal.
Albiriox utiliza una conexión de socket TCP sin cifrar para el comando y el control (C2), lo que permite a los atacantes emitir varios comandos para controlar el dispositivo de forma remota mediante la computación en red virtual (VNC), extraer información confidencial, mostrar pantallas negras o en blanco y subir o bajar el volumen para mantener el sigilo operativo.
También instala un módulo de acceso remoto basado en VNC para permitir a los actores de amenazas interactuar de forma remota con los teléfonos comprometidos. Una versión del mecanismo de interacción basado en VNC utiliza los servicios de accesibilidad de Android para mostrar todos los elementos de accesibilidad e interfaz de usuario presentes en la pantalla del dispositivo.
«Este mecanismo de streaming basado en la accesibilidad está diseñado intencionalmente para eludir las limitaciones impuestas por la protección FLAG_SECURE de Android», explicaron los investigadores.
«Dado que muchas aplicaciones bancarias y de criptomonedas ahora bloquean la grabación de pantalla, las capturas de pantalla y la captura de pantalla cuando esta bandera está habilitada, el uso de los servicios de accesibilidad permite al malware obtener una vista completa de la interfaz a nivel de nodo sin activar ninguna de las protecciones comúnmente asociadas con las técnicas de captura de pantalla directa».
Al igual que otros troyanos bancarios basados en Android, Albiriox admite ataques superpuestos contra una lista codificada de aplicaciones objetivo para el robo de credenciales. Además, pueden utilizarse como superposiciones que simulan una actualización del sistema o una pantalla negra para permitir que se lleven a cabo actividades maliciosas en segundo plano sin llamar la atención.
Cleafy dijo que también observó un enfoque de distribución ligeramente alterado que redirige a los usuarios a un sitio web falso que se hace pasar por PENNY, donde se les indica a las víctimas que ingresen su número de teléfono para recibir un enlace de descarga directa a través de WhatsApp. Actualmente, la página solo acepta números de teléfono austriacos. Los números introducidos se transfieren a un bot de Telegram.
«Albiriox presenta todas las características principales del malware moderno contra el fraude en dispositivos (ODF), incluido el control remoto basado en VNC, la automatización basada en la accesibilidad, las superposiciones específicas y la recolección dinámica de credenciales», dijo Cleafy. «Estas capacidades permiten a los atacantes eludir los mecanismos tradicionales de autenticación y detección de fraudes al operar directamente dentro de la sesión legítima de la víctima».
La revelación coincide con la aparición de otra herramienta MaaS para Android con el nombre en código RadZarat que se hace pasar por una utilidad legítima de administración de archivos, solo para liberar amplias capacidades de vigilancia y control remoto después de la instalación. La RAT se anunció por primera vez en un foro clandestino sobre ciberdelincuencia el 8 de noviembre de 2025.
«El desarrollador del malware, que opera bajo el alias 'Heron44', ha posicionado la herramienta como una solución de acceso remoto accesible que requiere un conocimiento técnico mínimo para su implementación y operación», dijo Sophia Taylor, investigadora de Certo dijo . «La estrategia de distribución refleja una preocupante democratización de las herramientas de ciberdelincuencia».
Un aspecto fundamental de RadZarat es su capacidad para organizar de forma remota el acceso y la administración del sistema de archivos, lo que permite a los ciberdelincuentes navegar por los directorios, buscar archivos específicos y descargar datos del dispositivo comprometido. También abusa de los servicios de accesibilidad para registrar las pulsaciones de teclado de los usuarios y usar Telegram para C2.
Para lograr la persistencia, el malware usa los permisos RECEIVE_BOOT_COMPLETED y RECEIVE_LOCKED_BOOT_COMPLETED, junto con un componente BootReceiver dedicado, para garantizar que se inicie automáticamente al reiniciar el dispositivo. Además, solicita el permiso REQUEST_IGNORE_BATTERY_OPTIMIZATIONS para eximirse de las funciones de optimización de la batería de Android, que pueden restringir su actividad en segundo plano.
«Su disfraz de administrador de archivos funcional, combinado con amplias capacidades de vigilancia y exfiltración de datos, lo convierte en una amenaza importante tanto para los usuarios individuales como para las organizaciones», afirma Certo.
Los hallazgos se producen cuando las páginas de destino falsas de Google Play Store para una aplicación llamada «GPT Trade» («com.jxtfkrsl.bjtgsb») tienen repartido el malware BTMOB para Android y un módulo de persistencia denominado UASecurity Miner. BTMOB, primero documentadas de Cyble en febrero de 2025, conocida por abusar de los servicios de accesibilidad para desbloquear dispositivos, registrar las pulsaciones de teclas, automatizar el robo de credenciales mediante inyecciones y habilitar el control remoto.
Los señuelos de ingeniería social que utilizan contenido para adultos como señuelos también han apuntalado una sofisticada red de distribución de malware para Android, que ofrece un archivo APK malicioso muy ofuscado que solicita permisos confidenciales para superposiciones de suplantación de identidad, capturas de pantalla, instalación de otro tipo de malware y manipulación del sistema de archivos.
«Emplea una arquitectura resiliente de varias etapas con sitios de front-end que atraen a los sitios que utilizan ofuscación y cifrado de nivel comercial para ocultarse y conectarse dinámicamente a una infraestructura de backend independiente», dijo Palo Alto Networks, unidad 42 dijo . «Los sitios web más atractivos utilizan mensajes de carga engañosos y una serie de comprobaciones, incluido el tiempo que se tarda en cargar una imagen de prueba, para evitar ser detectados y analizados».