Un nuevo troyano bancario para Android denominado Albiriox está ganando rápidamente tracción en foros clandestinos, según el análisis de la firma de ciberseguridad Cleafy. Este malware se ofrece bajo un modelo de Malware-as-a-Service (MaaS), lo que permite que incluso actores con poca experiencia técnica ejecuten campañas de fraude financiero sofisticadas contra usuarios de banca móvil y criptomonedas.
Albiriox como Malware-as-a-Service: profesionalización del cibercrimen
Cleafy documenta que Albiriox fue anunciado públicamente a finales de septiembre de 2025 y, apenas un mes después, sus desarrolladores ya lo comercializaban como servicio. La suscripción mensual ronda los 720 dólares e incluye acceso al panel de control, actualizaciones periódicas y soporte técnico para los operadores del malware.
Este enfoque MaaS replica el modelo de negocio de otros troyanos bancarios Android: los desarrolladores se centran en mejorar el código malicioso y en la infraestructura, mientras que grupos criminales y atacantes individuales “alquilan” la herramienta para ejecutar sus propias campañas. El resultado es una rápida escalabilidad, múltiples operaciones en paralelo y una mayor presión sobre bancos, fintech y usuarios finales.
Más de 400 aplicaciones objetivo: banca, cripto y juegos móviles
El análisis de Cleafy indica que Albiriox tiene como objetivo más de 400 aplicaciones Android a nivel global. Entre ellas se encuentran apps de banca y pagos, monederos y exchanges de criptomonedas, plataformas de trading e inversión, servicios de pago digital y aplicaciones de juego muy populares.
Esta amplitud confirma que se trata de un banker Android de nueva generación orientado al fraude on-device: las operaciones ilícitas se ejecutan directamente desde el dispositivo de la víctima, dentro de sus sesiones legítimas. Esto reduce la eficacia de mecanismos antifraude tradicionales basados en reconocer dispositivos sospechosos, IP inusuales o patrones de comportamiento externos.
Vectores de infección: SMS de phishing, Google Play falso y enlaces por WhatsApp
Ataques iniciales en Austria: SMS y suplantación de Google Play y un supermercado
Una de las primeras campañas atribuidas a Albiriox se dirigió a usuarios en Austria. Las víctimas recibían SMS de phishing en alemán que las redirigían a una página web que imitaba a Google Play Store y que promocionaba una supuesta app oficial de la cadena de supermercados Penny.
En lugar de descargar la aplicación desde la tienda oficial, la página ofrecía un APK alojado en infraestructura controlada por los atacantes. Al instalar manualmente este archivo, el usuario incorporaba en su dispositivo un dropper malicioso, que servía de puerta de entrada para Albiriox.
Evolución de la campaña: recopilación de teléfonos y entrega selectiva por WhatsApp
Tras esta primera ola, la infraestructura fraudulenta se refinó. La nueva versión del sitio ya no entrega directamente el APK, sino que solicita el número de móvil y promete enviar el enlace de descarga a través de WhatsApp.
La página solo acepta números austriacos, y los datos se reenvían automáticamente a un bot de Telegram controlado por los delincuentes. Este mecanismo les permite segmentar mejor a las víctimas, gestionar el envío de enlaces maliciosos de forma manual o automatizada y reanudar el contacto en caso necesario.
Capacidades técnicas: control casi total del dispositivo Android
Acceso remoto vía VNC y ocultación de actividad
Una vez instalado, el dropper se disfraza de actualización de sistema y solicita permisos ampliados, entre ellos la posibilidad de instalar apps desde orígenes desconocidos. En ese punto descarga y ejecuta el módulo principal de Albiriox.
Según Cleafy, el troyano incorpora mecanismos de acceso remoto basados en VNC, lo que permite a los operadores manejar el dispositivo en tiempo real, como si tuvieran el teléfono en la mano. Desde ahí pueden:
- iniciar y confirmar transferencias bancarias;
- cambiar parámetros de seguridad y autenticación;
- robar datos confidenciales y códigos de un solo uso (OTP);
- mostrar una pantalla negra o “vacía” para ocultar su actividad;
- silenciar el dispositivo para que el usuario no perciba notificaciones sospechosas.
Abuso de servicios de accesibilidad y bypass del flag FLAG_SECURE
Una parte crítica de Albiriox es el abuso de los servicios de accesibilidad de Android, diseñados originalmente para ayudar a personas con discapacidad. Al otorgarle estos permisos, el malware obtiene una visión completa de la interfaz y puede interactuar con otros procesos y aplicaciones.
Gracias a ello, el troyano es capaz de eludir el flag de protección FLAG_SECURE, ampliamente usado por apps bancarias y de criptomonedas para impedir capturas de pantalla o grabación de pantalla. En la práctica, los atacantes pueden ver lo que ocurre incluso en entornos que normalmente están blindados, superando así las protecciones de muchas soluciones legítimas de soporte remoto.
Ataques de superposición (overlay) y robo dinámico de credenciales
Como otros troyanos bancarios Android, Albiriox emplea técnicas de overlay: superpone pantallas falsas sobre aplicaciones legítimas para capturar credenciales, PIN y códigos de verificación. Puede simular pantallas de inicio de sesión del banco, formularios de verificación de pagos o cuadros de diálogo de actualización del sistema.
En otros casos, muestra un pantallazo en negro mientras realiza operaciones fraudulentas en segundo plano, reduciendo la probabilidad de que el usuario detecte comportamientos anómalos.
Evasión de antivirus y cifrado con Golden Crypt
Para sus “clientes”, los operadores de Albiriox ofrecen un builder personalizable que genera variantes únicas del malware y que se integra con el servicio de cifrado Golden Crypt. Estos cryptors modifican la estructura interna y las firmas del ejecutable, dificultando que las soluciones de seguridad móvil lo detecten mediante análisis estático basado en firmas.
En combinación con overlays adaptados a aplicaciones concretas, el uso de funciones legítimas de Android y la automatización mediante accesibilidad, Albiriox se posiciona como un ejemplo representativo del fraude on-device moderno, capaz de sortear gran parte de los controles antifraude tradicionales.
El auge de troyanos como Albiriox refuerza la necesidad de una buena higiene digital: evitar instalar aplicaciones desde enlaces en SMS o mensajería, verificar siempre que la descarga provenga de la tienda oficial, desactivar la instalación desde orígenes desconocidos y mantener el sistema actualizado. Para las organizaciones financieras, resulta clave incorporar el fraude on-device en sus modelos de amenaza y complementar los controles clásicos con análisis de comportamiento y señales de contexto. Invertir en educación del usuario, detección avanzada y respuesta temprana marcará la diferencia entre un incidente aislado y un compromiso masivo de cuentas.
