Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Malware Albiriox MaaS

Malware Albiriox MaaS

Por Mezo em Malware móvel, Trojan Bancário
Traduzir Para:

Uma nova ameaça para Android, conhecida como Albiriox, representa a mais recente evolução em operações de fraude em dispositivos. Anunciada sob um modelo de malware como serviço, ela oferece um extenso conjunto de ferramentas para controle remoto, abuso automatizado e manipulação furtiva dos dispositivos das vítimas.

Uma ameaça comercializada, criada para cometer fraudes.

A Albiriox é comercializada como uma oferta completa de MaaS (Mobile at a Service, ou Mobilidade como Serviço) projetada para suportar fraudes em dispositivos (ODF), interação com dispositivos em tempo real e manipulação de tela sem interrupções. Os primeiros indícios sugerem que as operadoras realizaram inicialmente uma fase de recrutamento limitada no final de setembro de 2025, antes de partirem para um lançamento comercial mais amplo. Indicadores relacionados a discussões em fóruns, uso de idiomas e infraestrutura de suporte apontam para cibercriminosos de língua russa liderando o projeto.

Os desenvolvedores também fornecem um construtor personalizado que, segundo relatos, se integra ao serviço de criptografia Golden Crypt, permitindo que os clientes burlem ferramentas antivírus e defesas de segurança móvel.

Visando um amplo panorama de aplicações

O malware incorpora uma extensa lista codificada com mais de 400 aplicativos visados. Estes abrangem uma ampla gama de categorias sensíveis, incluindo bancos, fintechs, corretoras de criptomoedas, processadores de pagamento, carteiras digitais e plataformas de negociação online. Essa abordagem de direcionamento amplo está alinhada com seu objetivo de capturar credenciais, iniciar transações fraudulentas e manter acesso secreto a aplicativos financeiros.

Implantação secreta por meio de engenharia social

A distribuição depende fortemente de iscas enganosas projetadas para induzir os usuários a instalarem droppers disfarçados. Os atacantes combinam temas de engenharia social com técnicas de empacotamento e ofuscação para burlar as ferramentas de análise estática. Uma campanha direcionada a usuários austríacos utilizou mensagens SMS em alemão e URLs encurtadas que levavam a páginas falsas da Google Play Store para aplicativos como "PENNY Angebote & Coupons".

As vítimas que selecionaram o botão falso "Instalar" baixaram, sem saber, um APK dropper. Após a inicialização, o aplicativo solicitou permissão para instalar software adicional, fingindo iniciar uma atualização de rotina. Essa ação desencadeou a implantação do payload principal do Albiriox.

Uma campanha relacionada redirecionava as potenciais vítimas para um site fraudulento com o tema PENNY, onde eram solicitadas a fornecer seu número de telefone para receber um link de download via WhatsApp. Somente números austríacos eram aceitos, e todos os envios eram encaminhados para um bot do Telegram controlado pelos operadores.

Controle remoto e operação secreta

Uma vez ativo, o Albiriox estabelece comunicação com seu servidor de Comando e Controle por meio de um socket TCP não criptografado. Isso permite que agentes maliciosos enviem comandos usados para interação remota completa. As principais funcionalidades incluem:

  • Controle de dispositivos baseado em VNC, com suporte de um módulo adicional de acesso remoto.
  • Extração sob demanda de dados sensíveis
  • Implantação de tela preta ou em branco para ocultar atividades maliciosas
  • Ajustes remotos de volume para manter o sigilo operacional.

Uma variante utiliza os serviços de acessibilidade do Android para apresentar todos os elementos da interface aos operadores. Essa técnica foi projetada especificamente para contornar as restrições do recurso FLAG_SECURE do Android, que impede capturas de tela e gravações de tela em muitos aplicativos financeiros.

Burlando as proteções da interface para cometer fraudes

O mecanismo de streaming baseado em acessibilidade fornece aos atacantes uma representação em nível de nó da interface do dispositivo. Como evita as técnicas tradicionais de captura de tela, não aciona as proteções integradas empregadas por aplicativos bancários e de criptomoedas. Consequentemente, os atacantes obtêm visibilidade persistente e irrestrita de telas sensíveis.

Ataques de sobreposição e coleta de credenciais

Assim como outros trojans bancários para Android, o Albiriox utiliza ataques de sobreposição vinculados à sua lista pré-definida de aplicativos-alvo. Essas sobreposições se disfarçam de painéis de login legítimos ou diálogos do sistema, possibilitando o roubo eficaz de credenciais. Além disso, o malware exibe telas enganosas, como avisos falsos de atualização ou telas completamente pretas, para ocultar suas atividades enquanto operações fraudulentas são realizadas em segundo plano.

Uma plataforma ODF totalmente equipada.

O Albiriox demonstra todas as características marcantes de um malware avançado para fraudes em dispositivos. Sua combinação de manipulação remota baseada em VNC, fluxos de trabalho automatizados orientados à acessibilidade, sobreposições direcionadas e técnicas de coleta dinâmica permite que os atacantes contornem os controles de autenticação e burlem os mecanismos convencionais de detecção de fraudes. Ao operar diretamente dentro da sessão legítima da vítima, o malware concede aos seus operadores um nível excepcionalmente alto de controle e uma oportunidade igualmente significativa para abusos.

Tendendo

Mais visto

Carregando...