Um novo malware para Android, chamado Albiriox, foi divulgado no modelo malware-as-a-service (MaaS), oferecendo um conjunto completo de funcionalidades para facilitar fraudes diretamente no dispositivo (on-device fraud – ODF), manipulação da tela e interação em tempo real com aparelhos infectados.
O malware traz embutida uma lista fixa com mais de 400 aplicativos-alvo, incluindo bancos, fintechs, processadores de pagamento, exchanges de criptomoedas, carteiras digitais e plataformas de trading.
Segundo pesquisadores da Cleafy — Federico Valentini, Alessandro Strino, Gianluca Scotti e Simone Mattia — o Albiriox utiliza dropper apps distribuídos por meio de iscas de engenharia social, combinados com técnicas de packing para driblar a detecção estática e garantir a entrega do payload malicioso.
O Albiriox foi inicialmente anunciado em setembro de 2025, em uma fase limitada de recrutamento, passando para o modelo MaaS um mês depois.
Há indícios de que os atores por trás do malware são falantes de russo, com base na atividade em fóruns de cybercrime, padrões linguísticos e na infraestrutura empregada.
Os clientes recebem acesso a um builder personalizado que, segundo seus desenvolvedores, integra um serviço de crypting terceirizado chamado Golden Crypt, para evitar a detecção por antivírus e soluções de segurança móvel.
O objetivo final do ataque é assumir o controle dos dispositivos e realizar ações fraudulentas sem levantar suspeitas.
Um exemplo de campanha inicial teve como alvo vítimas na Áustria, usando iscas em alemão via SMS com links encurtados que direcionavam a páginas falsas do Google Play Store, promovendo apps como “PENNY Angebote & Coupons”.
Usuários que clicavam em “Instalar” nessas páginas falsas acabavam infectados por um APK dropper.
Ao abrir o app, eram induzidos a conceder permissões de instalação por meio de uma falsa atualização de software, o que resultava na instalação do malware principal.
O Albiriox utiliza uma conexão TCP socket não criptografada para comunicação de comando e controle (C2).
Isso permite que os criminosos emitam comandos remotos para controlar o dispositivo via Virtual Network Computing (VNC), extrair dados sensíveis, exibir telas em branco ou preta e ajustar o volume, tudo para manter operações furtivas.
Além disso, o malware instala um módulo de acesso remoto baseado em VNC, que possibilita interação remota completa.
Uma das versões dessa interface remota utiliza os serviços de acessibilidade do Android para capturar todos os elementos da interface exibidos na tela.
Segundo os pesquisadores da Cleafy, esse mecanismo é projetado para superar a proteção FLAG_SECURE do Android, que normalmente bloqueia gravações de tela, capturas e screenshots em apps bancários ou de criptomoedas.
Como outros trojans bancários para Android, o Albiriox suporta ataques de overlay, exibindo interfaces falsas sobre apps legítimos para roubo de credenciais.
Ele também pode simular telas de atualização do sistema ou apresentar uma tela preta, permitindo que atividades maliciosas ocorram em segundo plano, sem alertar o usuário.
Foi observado ainda um método alternativo de distribuição, em que usuários são redirecionados a um site falso que finge ser da rede PENNY e solicitados a informar o número de telefone para receber o link de download via WhatsApp.
A página aceita apenas números austríacos, e os dados inseridos são exfiltrados para um bot no Telegram.
De acordo com a Cleafy, o Albiriox apresenta todas as características centrais dos malwares modernos para fraude on-device, incluindo controle remoto via VNC, automação por serviços de acessibilidade, overlays direcionados e coleta dinâmica de credenciais.
Essas funcionalidades permitem aos atacantes burlar autenticações tradicionais e mecanismos antifraude, operando diretamente na sessão legítima do usuário.
A divulgação do Albiriox ocorre junto ao surgimento de outra ferramenta MaaS para Android, apelidada RadzaRat, que se disfarça de utilitário legítimo para gerenciamento de arquivos, mas oferece amplas capacidades de vigilância e controle remoto após a instalação.
O RadzaRat começou a ser anunciado em fóruns de cybercrime em 8 de novembro de 2025.
Segundo a pesquisadora Sophia Taylor, da Certo, o desenvolvedor, conhecido como "Heron44", posiciona o malware como uma solução de acesso remoto fácil de instalar e operar, mesmo para usuários com pouco conhecimento técnico, indicando uma perigosa democratização das ferramentas de crime digital.
O RadzaRat permite manipulação completa do sistema de arquivos, navegação em diretórios, busca de arquivos e download de dados do dispositivo comprometido.
Ele também usa serviços de acessibilidade para registrar digitação e se comunica via Telegram para comando e controle.
Para garantir persistência, o malware obtém as permissões RECEIVE_BOOT_COMPLETED e RECEIVE_LOCKED_BOOT_COMPLETED, além de usar um componente BootReceiver para ser iniciado automaticamente após o reboot do aparelho.
Também busca a permissão REQUEST_IGNORE_BATTERY_OPTIMIZATIONS para evitar que as otimizações de bateria do Android limitem suas operações em segundo plano.
Disfarçado de gerenciador de arquivos funcional, o RadzaRat representa uma ameaça significativa tanto para usuários comuns quanto para organizações, alerta a Certo.
Além desses casos, pesquisadores identificaram páginas falsas do Google Play Store que promovem um app chamado “GPT Trade” (com.jxtfkrsl.bjtgsb), responsável pela distribuição do malware BTMOB e de um módulo de persistência chamado UASecurity Miner.
O BTMOB, documentado originalmente pela Cyble em fevereiro de 2025, explora serviços de acessibilidade para desbloquear aparelhos, registrar teclas, automatizar roubo de credenciais e permitir controle remoto.
Campanhas sofisticadas de distribuição desse tipo de malware também têm usado iscas baseadas em conteúdo adulto para atrair vítimas.
Esses ataques utilizam uma arquitetura complexa com múltiplas camadas, incluindo sites front-end com obfuscação comercial e criptografia, para ocultar e conectar dinamicamente a uma infraestrutura backend separada, dificultando análise e detecção, conforme apontado pela equipe Unit 42, da Palo Alto Networks.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...