Albiriox: nuevo malware Android en modalidad MaaS impulsa fraude on-device contra más de 400 apps financieras

Un nuevo malware para Android, identificado como Albiriox, está generando preocupación en la comunidad de ciberseguridad móvil por su capacidad de ejecutar fraude on-device (ODF) y control remoto completo del dispositivo. La operación, ofrecida bajo el modelo Malware-as-a-Service (MaaS), apunta a más de 400 aplicaciones financieras, fintech, wallets cripto y plataformas de trading, utilizando droppers camuflados y un conjunto de técnicas avanzadas de evasión.

Desarrollado por actores rusoparlantes, Albiriox comenzó a promocionarse en foros clandestinos desde septiembre de 2025, con precios de suscripción entre 650 y 720 dólares mensuales. Su atractivo para el cibercrimen radica en funciones como VNC integrado para interacción en tiempo real, overlays falsos, automatización mediante servicios de accesibilidad, y la capacidad de evadir FLAG_SECURE —protección estándar contra captura de pantallas—.

La arquitectura modular de Albiriox incluye dos fases que garantizan persistencia incluso tras reinicios, además de exfiltración continua de credenciales con baja probabilidad de ser detectado por análisis estáticos.

Capacidades técnicas: control total, overlays, exfiltración y técnicas anti-detección

Entre sus funciones más relevantes para analistas técnicos destacan:

• C2 mediante TCP en texto claro, facilitando análisis pero permitiendo comandos en tiempo real.

• Pantallas negras/blancas y control de volumen, diseñados para ocultar actividad maliciosa durante sesiones remotas.

• Overlays que imitan interfaces de actualización del sistema, utilizados para robar datos mientras el usuario cree estar en un proceso legítimo.

• Lista hardcodeada de objetivos, compuesta por bancos globales, plataformas cripto y apps de trading.

• Builder personalizado que incluye Golden Crypt, mecanismo de ofuscación dinámica para evitar firmas y heurísticas tradicionales.

• Droppers distribuídos vía ingeniería social, que solicitan permisos de instalación y posteriormente abusan de accesibilidad, optimización de batería y otros flags del sistema para permanecer activos sin alertas.

Estas capacidades convierten a Albiriox en una plataforma completa para fraude financiero sin necesidad de redireccionar al usuario fuera de la app comprometida.

Distribución, evolución y tendencia: el auge del fraude on-device

Inicialmente lanzado como beta privada y convertido a MaaS público en octubre, Albiriox representa la evolución natural del ecosistema ODF. Según análisis de Cleafy, su madurez ha sido sorprendentemente rápida, con evidencia de pruebas orientadas a apps bancarias de la Unión Europea y a múltiples exchanges cripto.

El malware ejemplifica el desplazamiento hacia ataques que operan dentro de las propias apps financieras, sin intermediarios ni proxies externos, incrementando el nivel de riesgo para instituciones y usuarios a escala global.

Mitigación: controles para usuarios, equipos antifraude y seguridad móvil

Para usuarios finales:

• Analizar APKs antes de instalarlas y evitar apps fuera de tiendas oficiales.

• Denegar permisos de accesibilidad que no sean estrictamente necesarios.

• Revisar periódicamente apps desconocidas o con comportamientos anómalos.

• Desconfiar de supuestas “actualizaciones del sistema” que aparezcan fuera del menú oficial del dispositivo.

Para organizaciones financieras y equipos de seguridad:

• Implementar mecanismos de detección de overlays sospechosos, eventos de accesibilidad anómalos y actividad VNC.

• Usar EDR móvil para identificación de droppers y comportamientos fuera del baseline.

• Bloquear instalaciones desde repositorios alternativos y reforzar políticas MDM en flotas corporativas.

• Capacitar a usuarios sobre ingeniería social asociada a “actualizaciones urgentes” o “aceleradores de rendimiento”.