Albiriox: Un Malware Con Vocación Global

Un nuevo malware para Android llamado Albiriox, de tipo RAT (Remote Access Trojan) y diseñado para operar como On-Device Fraud (ODF), está emergiendo como una amenaza móvil de alcance global. Así lo reveló un informe reciente del equipo de inteligencia de amenazas de Cleafy LABS.

Según el análisis, Albiriox funciona bajo un modelo de malware-como-servicio (MaaS), ofrecido en foros clandestinos. El proyecto pasó de una fase privada en septiembre de 2025 a una comercialización pública en octubre del mismo año. Por la actividad en foros, los patrones lingüísticos y la infraestructura utilizada, los analistas estiman que los actores detrás del malware serían de origen ruso.

**Posteo en foro underground**
*Fuente: https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets#6*

La infección comienza mediante una app falsa que actúa como dropper, distribuida a través de engaños, phishing o sitios fraudulentos. Esta aplicación emplea la técnica JSONPacker, que oculta el código malicioso y lo despliega directamente en el dispositivo para evadir detección. Una vez instalada y abierta, la app inicia un flujo de engaño para obtener el permiso de “instalar apps desconocidas”, y desde allí descarga el código real de Albiriox.

Cuando se activa, el malware permite a los atacantes tomar control total del dispositivo. Su módulo de control remoto, basado en VNC (Virtual Network Computing), brinda acceso no autorizado y monitoreo visual en tiempo real, un comportamiento típico de troyanos móviles avanzados que secuestran sesiones y ejecutan fraude directamente desde el dispositivo.

Además, Albiriox incorpora técnicas de Overlay Attack mediante tres tipos de pantallas superpuestas:

System Update Overlay, que simula una actualización del sistema para impedir que el usuario interactúe con el dispositivo.
Black Screen Overlay, que oscurece por completo la pantalla mientras el malware opera sin ser visto.
Targeted Application Overlay, que imita aplicaciones legítimas —como banca móvil o billeteras cripto— para robar credenciales cuando la víctima intenta iniciar sesión.

El alcance del malware es verdaderamente global. Cuenta con más de 400 aplicaciones objetivo, incluyendo bancos, fintechs, exchanges de criptomonedas, billeteras digitales, plataformas de pago y servicios de trading.

**Objetivos**
*Fuente: https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets#6*

Como mecanismo de evasión, Albiriox integra el servicio externo de crypting Golden Crypt, que le permite sortear detecciones estáticas y aumentar la probabilidad de una infección exitosa.

El caso evidencia una tendencia creciente: los controles estáticos —como proteger contraseñas, bloquear pantallas o reforzar la autenticación— ya no alcanzan. Cuando el atacante opera desde dentro del propio dispositivo, como ocurre con Albiriox, muchas de las defensas tradicionales quedan anuladas. Frente a este escenario, resulta imprescindible que las entidades financieras adopten capacidades de detección de fraude en el dispositivo (On-Device Fraud Detection), análisis de comportamiento y monitoreo continuo para identificar actividades anómalas en tiempo real y frenar el fraude antes de que ocurra.

Indicadores de compromiso (IOCs)

A continuación se pueden consultar los principales IOCs asociados al malware Albiriox, publicados por Cleafy:

APKs (Android Package Kit)

Nombre del paquete	Nombre de la app	MD5
com.example.myapplication	PENNY (dropper)	b6bae028ce6b0eff784de1c5e766ee33
com.example.myapplication	PENNY (dropper)	61b59eb41c0ae7fc94f800812860b22a
com.example.myapplication	PENNY (dropper)	f09b82182a5935a27566cdb570ce668f
com.nmz.nmz	nmz.nmz	f5b501e3d766f3024eb532893acc8c6c