Ameaça emergente do Android, ‘Albiriox’, possibilita fraude total no dispositivo

Ameaça emergente do Android, ‘Albiriox’, possibilita fraude total no dispositivo

Ameaça emergente do Android, ‘Albiriox’, possibilita fraude total no dispositivo

Albiriox é um novo malware Android MaaS que permite fraudes no dispositivo e controle em tempo real. Ele tem como alvo 400+ aplicativos bancários, fintech, criptomoedas e de pagamento.

Albiriox é um novo malware para Android vendido sob um modelo de malware como serviço em fóruns de cibercrime de língua russa. Ele oferece capacidades avançadas para Fraude no dispositivo, manipulação de tela e interação em tempo real com dispositivos infectados. Também inclui uma lista codificada com mais de 400 aplicativos direcionados, incluindo bancos, fintech, carteiras de criptomoedas, processadores de pagamentos e plataformas de negociação.

Albiriox foi observado pela primeira vez em setembro de 2025 durante um beta fechado para membros de alta reputação, tornando-se uma oferta pública de MaaS em outubro de 2025. O código malicioso incorpora um módulo de acesso remoto baseado em VNC para manipulação direta de dispositivos e um sistema de sobreposição em desenvolvimento, projetado para roubo de credenciais. Apesar de estar em desenvolvimento inicial, já apresenta evasão avançada, capacidades de controle dinâmico e segmentação ampla em aplicações financeiras. Postagens promocionais, discussões no Telegram e exemplos iniciais de APK revelam um projeto estruturado e em rápida evolução. O malware tem um modelo de assinatura começando em $650 por mês até 21 de outubro de 2025, aumentando para $720 depois. A Albiriox está posicionada para crescer rapidamente entre atores ameaçadores que buscam ferramentas escaláveis de fraude móvel.

As primeiras campanhas da Albiriox foram identificadas durante a fase beta do malware e provavelmente operadas por um único afiliado de alta reputação. A campanha tinha como alvo especificamente usuários austríacos, usando mensagens SMS em alemão com links encurtados que levavam a sites fraudulentos. A primeira versão se passou pela Google Play Store e atraiu as vítimas para baixar um falso aplicativo chamado “Penny Market”, entregando um APK dropper de servidores controlados pelos atacantes.

Pouco depois, o método de distribuição evoluiu. Em vez de oferecer o APK diretamente, a página de destino exigia que os usuários digitassem seu número de telefone, alegando que o link de download seria enviado via WhatsApp. O fluxo atualizado incluía a escolha de um fornecedor de combustível, a criação de uma falsa “roda da fortuna” e o envio de um número. As verificações de JavaScript garantiam que apenas números austríacos fossem aceitos, e todos os dados coletados eram enviados ao bot do Telegram dos atacantes.

A Albiriox utiliza técnicas típicas do malware moderno para bancos Android, incluindo controle remoto baseado em VNC e ataques sobrepostos. Nas primeiras campanhas, as vítimas recebiam um aplicativo falso chamado “Penny Market” que funcionava como dropper. O dropper usa JSONPacker para ofuscação e imediatamente inicia uma tela falsa de Atualização do Sistema para obter permissões críticas, especialmente “Instalar Apps Desconhecidos.” Uma vez concedido, ele instala o payload final do Albiriox, permitindo que o malware contorne a detecção estática.

O malware contém uma lista codificada com mais de 400 aplicativos-alvo (bancos, fintech, pagamentos, criptomoedas, carteiras e negociação) armazenados em uma classe interna AppInfos usada para acionar sobreposições e coletar credenciais.

A Albiriox se comunica com seu C2 usando sockets TCP não criptografados. Ao inicializar, ele envia um handshake contendo identificadores de dispositivo (HWID, modelo, versão do sistema operacional). A comunicação depende de mensagens JSON estruturadas e de um batimento cardíaco de ping/pongue para manter o controle persistente.

O conjunto de comandos revela amplas capacidades em nível de dispositivo projetadas para Fraude On-Device (ODF). Os recursos principais incluem um módulo VNC para controle em tempo real, automação da interface (clique, deslize, texto), funções orientadas a fraudes (extração de senha, manipulação de acessibilidade), ferramentas furtivas (sobreposições de tela preta, controle de volume), gerenciamento de aplicativos e sincronização contínua com C2. Coletivamente, essas capacidades permitem que atacantes assumam controle remoto total do dispositivo e executem transações fraudulentas diretamente dentro de aplicativos legítimos, permanecendo invisíveis para a vítima.

“A característica mais proeminente confirmada éAlbiriox’sCapacidade de operar como um PlenoControle Remoto. Essa capacidade permite que os TAs tenham acesso em tempo real, não autorizado e monitoramento visual do dispositivo da vítima. Ele espelha tecnologias legítimas de acesso remoto (como VNC ou serviços similares), permitindo uma transmissão ao vivo da tela do dispositivo e permitindo que o operador interaja remotamente com o dispositivo.” lê o relatório publicado pela Cleafy. “Esse comportamento é fortemente indicativo de um Acesso Remoto móvel Trojan (RAT) ou um trojan bancário altamente sofisticado que depende de sequestro de sessões e fraudes no dispositivo.”

Pesquisadores capturaram uma infecção ativa por Albiriox mostrando seus dois modos VNC: um fluxo visual padrão e um modo AC VNC baseado em acessibilidade. O AC VNC oferece uma visão completa de UI-node que contorna as restrições de FLAG_SECURE do Android, permitindo que o malware observe aplicativos bancários e cripto protegidos que normalmente bloqueiam capturas de tela ou gravação de tela.

A Albiriox também implementa vários tipos de sobreposição: uma tela falsa de Atualização do Sistema, uma tela preta total para ocultar atividades fraudulentas durante o controle do VNC e sobreposições genéricas acionadas quando aplicativos financeiros alvo são abertos. Essas sobreposições suportam roubo de credenciais, ocultam ações de atacantes e mantêm o engano do usuário.

Para evitar a detecção, os operadores do malware anunciam um Builder personalizado que integra o conhecido serviço de criptografia Golden Crypt, permitindo que o Albiriox seja empacotado em uma forma “Totalmente Indetectável”.

“Além das mensagens de recrutamento e dos anúncios iniciais da fase beta apresentados no “Do beta privado para o MaaS público”capítulo, as atividades de monitoramento da Cleafy revelaram um fio de discussão adicional ligado aoAlbirioxDesenvolvedores. Nessa conversa, um usuário do fórum perguntou explicitamente se o malware eraFUD(Totalmente Indetectável), um indicador comum de interesse entre TAs que buscam ferramentas capazes de burlar antivírus e soluções de segurança móvel.” continua o relatório. “Em resposta, oAlbirioxDesenvolvedores esclareceram que eles oferecem umConstrutor personalizadocomo parte da oferta MaaS deles.”

Isso reforça seu posicionamento como uma oferta MaaS focada em furtividade, com evasão em camadas, entrega em dois estágios e tomada de dispositivos orientada pela acessibilidade.

Albirioxexibe todas as características centrais da ModernFraude no Dispositivo (ODF)malware, incluindo controle remoto baseado em VNC, automação orientada por acessibilidade, sobreposições direcionadas e coleta dinâmica de credenciais. Essas capacidades permitem que atacantes contornem os mecanismos tradicionais de autenticação e detecção de fraudes ao operar diretamente dentro da sessão legítima da vítima.” conclui o relatório. “Em conclusão, Albiriox representa uma ameaça em rápida evolução que exemplifica a mudança mais ampla para malwares móveis focados em ODF.”

Me siga no Twitter:@securityaffairseFacebookeMastodonte

PierluigiPaganini

(SecurityAffairs–hacking, malware)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.