Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware MaaS de Albiriox

Malware MaaS de Albiriox

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

Una nueva amenaza para Android, conocida como Albiriox, representa la última evolución en operaciones de fraude en dispositivos. Anunciada bajo un modelo de malware como servicio, ofrece un amplio conjunto de herramientas para el control remoto, el abuso automatizado y la manipulación sigilosa de los dispositivos de las víctimas.

Una amenaza comercializada diseñada para el fraude

Albiriox se comercializa como una solución MaaS completa, diseñada para facilitar el fraude en el dispositivo (ODF), la interacción con el dispositivo en tiempo real y la manipulación fluida de la pantalla. Los primeros resultados sugieren que los operadores realizaron una fase de reclutamiento limitada a finales de septiembre de 2025 antes de pasar a un lanzamiento comercial más amplio. Los indicadores relacionados con las discusiones en foros, el uso del idioma y la infraestructura de apoyo apuntan a que ciberdelincuentes rusoparlantes lideran el proyecto.

Los desarrolladores también proporcionan un constructor personalizado que supuestamente se integra con el servicio de cifrado Golden Crypt, lo que permite a los clientes evadir las herramientas antivirus y las defensas de seguridad móvil.

Apuntando a un panorama de aplicaciones amplio

El malware integra una extensa lista de más de 400 aplicaciones objetivo codificadas. Estas abarcan una amplia gama de categorías sensibles, como banca, tecnología financiera, plataformas de intercambio de criptomonedas, procesadores de pagos, billeteras digitales y plataformas de comercio en línea. Este amplio enfoque de ataque se alinea con su objetivo de capturar credenciales, iniciar transacciones fraudulentas y mantener acceso oculto a aplicaciones financieras.

Despliegue encubierto mediante ingeniería social

La distribución se basa en gran medida en señuelos engañosos diseñados para inducir a los usuarios a instalar droppers camuflados. Los atacantes combinan técnicas de ingeniería social con empaquetado y ofuscación para evadir las herramientas de análisis estático. Una campaña dirigida a usuarios austriacos empleó mensajes SMS en alemán y URL acortadas que conducían a páginas falsas de Google Play Store para aplicaciones como "PENNY Angebote & Coupons".

Las víctimas que seleccionaron el falso botón "Instalar" descargaron sin saberlo un APK de descarga. Tras iniciarse, la aplicación solicitaba permiso para instalar software adicional, simulando iniciar una actualización rutinaria. Esta acción desencadenó la implementación del payload principal de Albiriox.

Una campaña relacionada redirigió a las víctimas potenciales a un sitio web fraudulento con temática de PENNY, donde se les solicitaba que proporcionaran su número de teléfono para recibir un enlace de descarga de WhatsApp. Solo se aceptaban números austriacos y todos los envíos se enviaban a un bot de Telegram controlado por los operadores.

Control remoto y operación encubierta

Una vez activo, Albiriox establece comunicación con su servidor de Comando y Control a través de un socket TCP sin cifrar. Esto permite a los actores de amenazas enviar comandos para una interacción remota completa. Sus principales capacidades incluyen:

  • Control de dispositivos basado en VNC, respaldado por un módulo de acceso remoto adicional
  • Extracción de datos confidenciales bajo demanda
  • Implementación de pantalla negra o en blanco para ocultar actividad maliciosa
  • Ajustes de volumen remotos para mantener el sigilo operativo

Una variante utiliza los servicios de accesibilidad de Android para presentar todos los elementos de la interfaz a los operadores. Esta técnica está diseñada específicamente para eludir las restricciones de la función FLAG_SECURE de Android, que impide las capturas de pantalla y las grabaciones de pantalla en muchas aplicaciones financieras.

Evitar las protecciones de la interfaz para evitar el fraude

El mecanismo de transmisión basado en accesibilidad proporciona a los atacantes una representación a nivel de nodo de la interfaz del dispositivo. Al evitar las técnicas tradicionales de captura de pantalla, no activa las protecciones integradas de las aplicaciones bancarias y de criptomonedas. Como resultado, los atacantes obtienen visibilidad persistente y sin restricciones de pantallas sensibles.

Ataques de superposición y recolección de credenciales

Al igual que otros troyanos bancarios para Android, Albiriox emplea ataques de superposición vinculados a su lista de aplicaciones objetivo predefinida. Estas superposiciones se presentan como paneles de inicio de sesión legítimos o diálogos del sistema, lo que permite el robo de credenciales. Además, el malware muestra pantallas engañosas, como avisos de actualización falsos o pantallas completamente negras, para ocultar sus actividades mientras se realizan operaciones fraudulentas en segundo plano.

Una plataforma ODF totalmente equipada

Albiriox presenta todas las características distintivas del malware avanzado de fraude en dispositivos. Su combinación de manipulación remota basada en VNC, flujos de trabajo de automatización basados en la accesibilidad, superposiciones dirigidas y técnicas de recolección dinámica permite a los atacantes eludir los controles de autenticación y los mecanismos convencionales de detección de fraude. Al operar directamente dentro de la sesión legítima de la víctima, el malware otorga a sus operadores un nivel de control excepcionalmente alto y una oportunidad igualmente significativa de abuso.

Tendencias

Mas Visto

Cargando...