Especialistas em cibersegurança identificaram um novo e perigoso malware para Android chamado “Albiriox”. Classificado como um modelo MaaS (Malware-as-a-Service), este software malicioso permite que criminosos realizem fraudes bancárias sofisticadas em tempo real, explorando dados confidenciais das vítimas.
Identificado inicialmente em fóruns de cibercrime de língua russa pela empresa Cleafy, o Albiriox possui recursos avançados que garantem uma operação discreta. Uma vez instalado no dispositivo, ele é capaz de manipular a tela de forma automatizada e imperceptível para o usuário.
O vírus carrega uma lista pré-programada que mira mais de 400 aplicativos, com foco principal em serviços financeiros, incluindo:
- Apps bancários tradicionais
- Carteiras de criptomoedas
- Processadores de pagamento
- Fintechs em geral
A Campanha e o Modus Operandi
Detectado em setembro, o Albiriox ainda está em sua fase inicial de desenvolvimento no mercado clandestino, mas já demonstra ferramentas sofisticadas para maximizar o número de vítimas.
Os hackers utilizam um código que incorpora um módulo de acesso remoto baseado em VNC, permitindo a manipulação direta dos dispositivos infectados. O roubo de credenciais é feito através de um sistema de sobreposição de tela.
Táticas de Distribuição
Nas campanhas iniciais, o Albiriox mirava indivíduos austríacos por meio de uma tática simples de phishing:
- SMS Malicioso: O envio de mensagens SMS contendo links encurtados.
- Redirecionamento: Ao clicar, o usuário era direcionado para baixar um aplicativo falso chamado Penny Market, que se passava por um app legítimo da Google Play Store.
- Instalação Secreta: Acreditando na legitimidade da loja, a vítima instalava um dropper APK que, na verdade, era controlado por servidores ilegais.
Posteriormente, o modus operandi evoluiu, e o malware passou a ser distribuído a partir de uma página que pedia o número de celular do usuário para enviar o link de download via WhatsApp.
O Controle Remoto em Ação
Graças à sua lista de apps pré-programada, o Albiriox ataca os alvos certos após a infecção. Ele usa as informações armazenadas para coletar dados bancários através da ativação das sobreposições.
O software malicioso foi configurado para controlar o aparelho em tempo real, utilizando automação de interface e funções que facilitam a fraude, tais como:
- Extração de senhas
- Manipulação das ferramentas de acessibilidade
- Recursos de ocultação
Dessa forma, os cibercriminosos conseguem assumir o controle remoto total do dispositivo, coletando dados e realizando transações sem que a vítima perceba a ação.
O relatório da Cleafy ressalta a capacidade do malware de burlar métodos tradicionais de autenticação e detecção de fraudes. Como o vírus opera diretamente dentro de uma sessão de usuário legítima, a identificação das atividades criminosas se torna extremamente difícil.
