Un nuevo malware para Android llamado Albiriox se ha anunciado bajo un modelo de malware como servicio (MaaS) para ofrecer un «espectro completo» de funciones para facilitar el fraude en el dispositivo (ODF), la manipulación de la pantalla y la interacción en tiempo real con dispositivos infectados.
El malware incorpora una lista codificada que comprende más de 400 aplicaciones que abarcan banca, tecnología financiera, procesadores de pagos, intercambios de criptomonedas, billeteras digitales y plataformas comerciales.
«El malware aprovecha las aplicaciones dropper distribuidas a través de señuelos de ingeniería social, combinadas con técnicas de empaquetado, para evadir la detección estática y entregar su carga útil», dijeron los investigadores de Cleafy Federico Valentini, Alessandro Strino, Gianluca Scotti y Simone Mattia.
Se dice que Albiriox se anunció por primera vez como parte de una fase de contratación limitada a finales de septiembre de 2025, antes de pasar a una oferta MaaS un mes después. Hay evidencia que sugiere que los actores de la amenaza son de habla rusa según su actividad en foros de cibercrimen, patrones lingüísticos y la infraestructura utilizada.
Los clientes potenciales reciben acceso a un creador personalizado que, según afirman los desarrolladores, se integra con un servicio de cifrado de terceros conocido como Golden Crypt para evitar las soluciones antivirus y de seguridad móvil.
El objetivo final de los ataques es tomar el control de los dispositivos móviles y realizar acciones fraudulentas, todo ello sin pasar desapercibido. Al menos una campaña inicial se ha dirigido explícitamente a víctimas austriacas aprovechando señuelos en alemán y mensajes SMS que contienen enlaces abreviados que llevan a los destinatarios a listados falsos de aplicaciones de Google Play Store para aplicaciones como PENNY Angebote & Cupones.
Los usuarios desprevenidos que hicieron clic en el botón «Instalar» en la página similar se ven comprometidos con un APK cuentagotas. Una vez instalada e iniciada, la aplicación les solicita que le otorguen permisos para instalar aplicaciones bajo la apariencia de una actualización de software, lo que conduce a la implementación del malware principal.
Albiriox utiliza una conexión de socket TCP no cifrada para comando y control (C2), lo que permite a los actores de amenazas emitir varios comandos para controlar remotamente el dispositivo usando Virtual Network Computing (VNC), extraer información confidencial, mostrar pantallas en blanco o negro y subir o bajar el volumen para operaciones sigilosas.
También instala un módulo de acceso remoto basado en VNC para permitir que los actores de amenazas interactúen de forma remota con los teléfonos comprometidos. Una versión del mecanismo de interacción basado en VNC utiliza los servicios de accesibilidad de Android para mostrar toda la interfaz de usuario y los elementos de accesibilidad presentes en la pantalla del dispositivo.
«Este mecanismo de transmisión basado en accesibilidad está diseñado intencionalmente para evitar las limitaciones impuestas por la protección FLAG_SECURE de Android», explicaron los investigadores.
«Dado que muchas aplicaciones bancarias y de criptomonedas ahora bloquean la grabación de pantalla, las capturas de pantalla y la captura de pantalla cuando este indicador está habilitado, aprovechar los servicios de accesibilidad permite que el malware obtenga una vista completa a nivel de nodo de la interfaz sin activar ninguna de las protecciones comúnmente asociadas con las técnicas directas de captura de pantalla».
Al igual que otros troyanos bancarios basados en Android, Albiriox admite ataques de superposición contra una lista codificada de aplicaciones objetivo para el robo de credenciales. Es más, puede servir como superposiciones que imitan una actualización del sistema o una pantalla negra para permitir que se lleven a cabo actividades maliciosas en segundo plano sin llamar la atención.
Cleafy dijo que también observó un enfoque de distribución ligeramente modificado que redirige a los usuarios a un sitio web falso que se hace pasar por PENNY, donde se indica a las víctimas que ingresen su número de teléfono para recibir un enlace de descarga directa a través de WhatsApp. Actualmente, la página sólo acepta números de teléfono austriacos. Los números ingresados se extraen a un bot de Telegram.
«Albiriox exhibe todas las características centrales del malware moderno de fraude en el dispositivo (ODF), incluido el control remoto basado en VNC, la automatización basada en la accesibilidad, las superposiciones dirigidas y la recolección dinámica de credenciales», dijo Cleafy. «Estas capacidades permiten a los atacantes eludir los mecanismos tradicionales de autenticación y detección de fraude operando directamente dentro de la sesión legítima de la víctima».
La divulgación coincide con la aparición de otra herramienta MaaS de Android con nombre en código RadzaRat que se hace pasar por una utilidad legítima de administración de archivos, solo para desatar amplias capacidades de vigilancia y control remoto después de la instalación. El RAT se anunció por primera vez en un foro clandestino sobre cibercrimen el 8 de noviembre de 2025.
«El desarrollador del malware, que opera bajo el alias ‘Heron44’, ha posicionado la herramienta como una solución de acceso remoto accesible que requiere conocimientos técnicos mínimos para implementarla y operarla», dijo la investigadora de Certo, Sophia Taylor. «La estrategia de distribución refleja una preocupante democratización de las herramientas de cibercrimen».
Lo fundamental de RadzaRat es su capacidad para organizar de forma remota el acceso y la administración del sistema de archivos, lo que permite a los ciberdelincuentes explorar directorios, buscar archivos específicos y descargar datos desde el dispositivo comprometido. También abusa de los servicios de accesibilidad para registrar las pulsaciones de teclas de los usuarios y utilizar Telegram para C2.
Para lograr persistencia, el malware utiliza los permisos RECEIVE_BOOT_COMPLETED y RECEIVE_LOCKED_BOOT_COMPLETED, junto con un componente BootReceiver dedicado, para garantizar que se inicie automáticamente al reiniciar el dispositivo. Además, solicita el permiso REQUEST_IGNORE_BATTERY_OPTIMIZATION para eximirse de las funciones de optimización de la batería de Android que pueden restringir su actividad en segundo plano.
«Su disfraz de administrador de archivos funcional, combinado con amplias capacidades de vigilancia y filtración de datos, lo convierte en una amenaza significativa tanto para usuarios individuales como para organizaciones», dijo Certo.
Los hallazgos se producen cuando páginas de inicio falsas de Google Play Store para una aplicación llamada «GPT Trade» («com.jxtfkrsl.bjtgsb») han distribuido el malware BTMOB para Android y un módulo de persistencia denominado UASecurity Miner. BTMOB, documentado por primera vez por Cyble en febrero de 2025, se sabe que abusa de los servicios de accesibilidad para desbloquear dispositivos, registrar pulsaciones de teclas, automatizar el robo de credenciales mediante inyecciones y habilitar el control remoto.
Los señuelos de ingeniería social que utilizan contenido para adultos como señuelo también han apuntalado una sofisticada red de distribución de malware para Android para entregar un archivo APK malicioso muy ofuscado que solicita permisos confidenciales para superposiciones de phishing, capturas de pantalla, instalación de otro malware y manipulación del sistema de archivos.
«Emplea una arquitectura resistente de múltiples etapas con sitios señuelo frontales que utilizan ofuscación y cifrado de nivel comercial para ocultar y conectarse dinámicamente a una infraestructura backend separada», dijo la Unidad 42 de Palo Alto Networks. «Los sitios de señuelo frontales utilizan mensajes de carga engañosos y una serie de comprobaciones, incluido el tiempo que lleva cargar una imagen de prueba, para evadir la detección y el análisis».