menu
Logo TecMundo
Segurança

Novo vírus invade e controla celulares Android sem que vítima perceba

Albiriox usa técnicas de acessibilidade do Android para contornar proteções de segurança e executar fraudes em mais de 400 aplicativos financeiros

Avatar do(a) autor(a): Cecilia Ferraz

schedule17/12/2025, às 14:30

Um novo malware identificado por pesquisadores está mirando usuários de Android. Nomeada Albiriox, a ameaça está em desenvolvimento, mas já é vendida em fóruns cibercriminosos como um Malware-as-a-Service desde outubro de 2025. De acordo com a investigação, as atividades nos fóruns, os padrões linguísticos e a análise da infraestrutura indicam que a ferramenta foi desenvolvida por cibercriminosos da Rússia.

O Albiriox tem uma arquitetura projetada para Fraude no Dispositivo (ODF), tática de golpe na qual atacantes assumem o controle do dispositivo móvel da vítima e realizam fraudes diretamente dos aplicativos bancários ou de criptomoedas. O malware é desenvolvido de modo que prioriza acesso ao Controle Total do Dispositivo, Interação em Tempo Real e a capacidade de realizar operações não autorizadas sem demonstrar que há algo de errado para a vítima.

smart_display

Nossos vídeos em destaque

Malware surgiu em fóruns cibercriminosos por US$ 720 

O malware combina dois vetores de ataque. O primeiro é um módulo de acesso remoto baseado em VNC para controle do dispositivo em tempo real. O segundo é um mecanismo de Ataque de Sobreposição para coleta de credenciais. Enquanto a funcionalidade de controle remoto está operando, o componente de sobreposição está em desenvolvimento ativo.

No final de setembro deste ano, pesquisadores de cibersegurança encontraram os primeiros rastros do Albiriox em um canal do Telegram, no qual o suposto autor do malware discutia o projeto com alguns seguidores. Nessa época, os cibercriminosos anunciaram os planos de lançar a ameaça como um MaaS, incluindo uma fase beta que seria testada por membros VIP dos fóruns onde o malware seria vendido.

Leia Mais
Brasil é alvo de novo vírus que se espalha sozinho e apaga os próprios rastros

Alguns dias depois dessa conversa, a versão beta foi anunciada em dois fóruns russos. A primeira postagem fornecia detalhes técnicos sobre o malware, incluindo a revelação de um trojan de acesso remoto (RAT) com todos os recursos necessários para fazer ataques de Fraude no Dispositivo. O maior atrativo, na época do anúncio, era o acesso remoto que dava acesso à área de trabalho gráfica do dispositivo, por meio de configurações de acessibilidade (AcVNC).

A divulgação do malware incluiu até mesmo vídeos promocionais, que mostravam as funcionalidades principais e demonstravam o funcionamento do Albiriox. Depois do período beta, o mesmo cibercriminoso publicou o lançamento do Malware as a Service, com preços que chegavam a US$ 720 por mês.

A Cleafy, empresa de segurança que está acompanhando o desenvolvimento do malware, acredita que a operação pode ser atribuída a um único cibercriminoso.

Albiriox usava Google Play Store falsa para atrair vítimas

A primeira campanha detectada do Albiriox teve como alvo usuários austríacos. Os criminosos enviaram mensagens SMS contendo links encurtados que redirecionavam para páginas falsas da Google Play Store. As páginas eram cópias fiéis da loja oficial do Google, com descrições em alemão, avaliações e botões de instalação que pareciam legítimos.

Leia Mais
GOV.BR espiona o usuário? TecMundo investigou

O golpe inicial oferecia o aplicativo "Penny Market", uma cadeia de varejo popular na região. Quando a vítima clicava em "Instalar", em vez de baixar o app da Play Store oficial, o arquivo malicioso era baixado diretamente dos servidores dos atacantes.

playstore_falsa.png
Página falsa da Play Store direcionava para aplicativo de varejista, que era um dropper disfarçado. Imagem: Cleafy.

Pouco tempo depois, os criminosos refinaram a estratégia. Em vez de disponibilizar o download direto do malware, as páginas falsas começaram a solicitar o número de telefone da vítima, com a promessa de que o link seria enviado via WhatsApp. A análise do código JavaScript dessas páginas revelou que apenas números austríacos eram aceitos, e os dados coletados eram enviados diretamente para um bot do Telegram controlado pelos atacantes.

MaaS mira mais de 400 instituições financeiras

O processo de infecção acontece em estágios cuidadosamente planejados. Primeiro, a vítima instala um aplicativo falso que funciona como "dropper" - um instalador disfarçado. Ao ser executado, esse aplicativo não se comporta como um app legítimo. Em vez disso, exibe uma interface fraudulenta de atualização do sistema, pressionando o usuário a conceder permissões críticas.

O objetivo principal é obter a permissão "Instalar Aplicativos Desconhecidos", que permite que aplicativos sejam instalados fora da Play Store. Uma vez concedida essa autorização, o dropper instala automaticamente o payload final do Albiriox no dispositivo.

Leia Mais
Water Saci: Vírus para WhatsApp ganha versão ainda mais perigosa e automatizada

Essa estratégia em duas etapas é proposital: ela dificulta a detecção por antivírus, já que o código malicioso principal só é entregue após a instalação inicial do aplicativo falso.

A análise do código-fonte do Albiriox revelou uma lista de mais de 400 aplicativos que estão na mira dos criminosos, incluindo bancos tradicionais, fintechs, processadores de pagamento, exchanges de criptomoedas, carteiras digitais e plataformas de investimento.

Albiriox combina técnicas de controle e evasão para se esconder

O grande diferencial do Albiriox está na capacidade de controle remoto. Uma vez instalado, o malware estabelece uma conexão persistente com servidores de comando e controle usando um protocolo TCP não criptografado. Imediatamente, o dispositivo é registrado na botnet dos criminosos, enviando informações como modelo do aparelho, versão do Android e identificadores únicos.

albiriox_atualização.png
Enquanto o cibercriminoso limpa a conta bancária da vítima, o celular mostra uma tela falsa de atualização. Imagem: Cleafy.

Os atacantes podem então visualizar e controlar o dispositivo em tempo real através de dois modos VNC distintos. O primeiro é o VNC tradicional, que transmite a tela do dispositivo. O segundo, e mais sofisticado, é o AC VNC, que utiliza os serviços de acessibilidade do Android para capturar todos os elementos da interface, contornando proteções de aplicativos bancários que bloqueiam capturas de tela.

Leia Mais
Governo lança site com criminosos mais procurados do país

Enquanto controlam o dispositivo, os criminosos podem executar uma série de comandos: clicar, deslizar, digitar texto, navegar entre aplicativos, aumentar ou diminuir o volume, e até mesmo extrair senhas. Tudo isso acontece de forma invisível para a vítima.

A técnica mais insidiosa envolve o uso de sobreposições de tela. O malware pode exibir uma tela preta ou uma falsa notificação de atualização do sistema, obscurecendo a visão da vítima enquanto os criminosos realizam transações fraudulentas em segundo plano. Como tudo acontece dentro da sessão legítima do usuário, os sistemas de segurança dos bancos não conseguem detectar a fraude facilmente.

Para evitar detecção, os desenvolvedores do Albiriox incluem um recurso de "builder" personalizado na oferta MaaS. Esse builder integra um serviço de criptografia chamado Golden Crypt, amplamente utilizado no submundo cibercriminoso para tornar malwares "FUD" (Fully Undetectable - Totalmente Indetectável).

Como se proteger

Para evitar cair nesse tipo de golpe, especialistas recomendam algumas boas práticas.

  • Nunca instalar aplicativos de fontes fora da Google Play Store oficial;
  • Desconfiar de mensagens SMS com links, mesmo que pareçam vir de empresas conhecidas;
  • Verificar cuidadosamente as permissões solicitadas por aplicativos, especialmente "Instalar Aplicativos Desconhecidos" e “Serviços de Acessibilidade”;
  • Manter o Android e os aplicativos sempre atualizados;
  • Usar soluções de segurança móvel confiáveis;
  • Ficar atento a comportamentos estranhos do dispositivo, como telas escuras inesperadas ou aplicativos abrindo sozinhos.
Avatar do(a) autor(a): Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 2 dias
Smart Speaker com Alexa Echo Show 8 3ª geração
29% off

Imperdível!

Smart Speaker com Alexa Echo Show 8 3ª geração

R$ 999,00

Eletro amazon.com.brnew_releases
Monitor Gamer 24" Philips Evnia 24m2n3200l, 180Hz
31% off

Oportunidade!

Monitor Gamer 24" Philips Evnia 24m2n3200l, 180Hz

R$ 719,99

Gamer mercadolivre.com.brnew_releases
Câmera de Segurança TP-Link Tapo C200
49% off

Aproveite!

Câmera de Segurança TP-Link Tapo C200

R$ 152,12

Informática mercadolivre.com.brnew_releases
Reprodutor PlayStation Portal
16% off

Oferta!

Reprodutor PlayStation Portal

R$ 1.255,41

Gamer amazon.com.brnew_releases
Controle Dualshock 4, PlayStation
31% off

Play no game!

Controle Dualshock 4, PlayStation

R$ 241,70

Gamer amazon.com.brnew_releases
Ar-Condicionado Elgin Split Inverter Eco II 9.000 BTUs Quente e Frio
30% off

Promo de verão

Ar-Condicionado Elgin Split Inverter Eco II 9.000 BTUs Quente e Frio

R$ 1.609,00

Eletro amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA