Investigadores de seguridad digital de la empresa Cleafy, han identificado y documentado Albiriox, una nueva familia de malware diseñada específicamente para comprometer dispositivos Android y ejecutar fraude financiero de forma remota. Este software malicioso representa un nivel avanzado de sofisticación, permitiendo a los atacantes obtener control total del dispositivo de la víctima sin necesidad de robar contraseñas.
El malware Albiriox funciona como un servicio disponible para cualquier ciberdelincuente que desee rentarlo, democratizando el acceso a herramientas de fraude móvil. Una característica particularmente amenazante es su base de datos integrada que contiene información de más de 400 aplicaciones bancarias, plataformas fintech, sistemas de pago y carteras de criptomonedas, lo que permite al malware identificar automáticamente los objetivos presentes en cada dispositivo infectado.
Según la firma de investigación, la técnica es utilizada principalmente por actores amenazantes con base en Rusia y regiones vecinas. Recientemente ha ganado impulso tras distribuirse como Malware-as-a-Service (MaaS) en foros underground y de la dark web.
El proceso de distribución típicamente comienza con mensajes SMS o WhatsApp que redirigen a los usuarios a instalar supuestas aplicaciones de cupones o servicios útiles. Una vez instaladas, estas aplicaciones funcionan como programas de descarga (droppers) que solicitan permisos avanzados de Android para finalmente instalar el verdadero Albiriox. El malware entonces explota los servicios de accesibilidad de Android para simular gestos del usuario, incluyendo toques, deslizamientos e introducción de datos, permitiendo ejecutar operaciones bancarias sin que el propietario sea consciente.
Características técnicas del malware incluyen un módulo de control remoto basado en tecnología VNC que permite a los ciberdelincuentes manejar el teléfono a distancia, oscurecimiento de pantalla para ocultar actividades fraudulentas, y capacidad de interpretar órdenes de voz para controlar aplicaciones. El ataque puede ocurrir dentro del dispositivo de la víctima, lo que dificulta significativamente la detección por parte de entidades financieras, ya que todas las transacciones aparecen como legítimas originadas desde dispositivos reconocidos del cliente.
