Một mã độc Android mới có tên Albiriox đang được quảng cáo theo mô hình malware-as-a-service (MaaS) để cung cấp "toàn bộ các tính năng" nhằm tạo điều kiện lừa đảo trên thiết bị (ODF), thao túng màn hình và tương tác thời gian thực với các thiết bị bị nhiễm.
Mã độc này nhúng một danh sách cứng gồm hơn 400 ứng dụng trải rộng trên lĩnh vực ngân hàng, công nghệ tài chính, bộ xử lý thanh toán, sàn giao dịch cryptocurrency, ví điện tử và các nền tảng giao dịch.
"Mã độc này sử dụng các ứng dụng dropper được phân phối thông qua các chiêu trò social engineering, kết hợp với các kỹ thuật packing, để lẩn tránh phát hiện tĩnh và phân phối payload của nó," các nhà nghiên cứu của Cleafy là Federico Valentini, Alessandro Strino, Gianluca Scotti và Simone Mattia cho biết.
Albiriox được cho là đã được quảng cáo lần đầu như một phần của giai đoạn tuyển dụng giới hạn vào cuối tháng 9 năm 2025, trước khi chuyển sang mô hình MaaS một tháng sau đó. Có bằng chứng cho thấy các threat actor này nói tiếng Nga dựa trên hoạt động của họ trên các diễn đàn cybercrime, các mẫu ngôn ngữ và cơ sở hạ tầng được sử dụng.
Các khách hàng tiềm năng được cấp quyền truy cập vào một trình builder tùy chỉnh mà theo tuyên bố của nhà phát triển, nó tích hợp với dịch vụ crypting của bên thứ ba được gọi là Golden Crypt để bypass các giải pháp antivirus và bảo mật di động.
Mục tiêu cuối cùng của các cuộc tấn công là chiếm quyền kiểm soát thiết bị di động và thực hiện các hành vi gian lận, tất cả trong khi hoạt động "dưới radar". Ít nhất một chiến dịch ban đầu đã nhắm mục tiêu rõ ràng vào các nạn nhân ở Áo bằng cách sử dụng các chiêu trò bằng tiếng Đức và tin nhắn SMS chứa các liên kết rút gọn dẫn người nhận đến các danh sách ứng dụng giả mạo trên Google Play Store cho các ứng dụng như PENNY Angebote & Coupons.
Những người dùng không nghi ngờ nhấp vào nút "Install" trên trang giả mạo sẽ bị xâm nhập bằng một dropper APK. Sau khi cài đặt và khởi chạy, ứng dụng sẽ nhắc họ cấp quyền cài đặt ứng dụng dưới chiêu trò cập nhật phần mềm, điều này dẫn đến việc triển khai mã độc chính.
Albiriox sử dụng kết nối TCP socket không được mã hóa cho Command-and-Control (C2), cho phép các threat actor đưa ra nhiều lệnh khác nhau để điều khiển thiết bị từ xa bằng Virtual Network Computing (VNC), trích xuất thông tin nhạy cảm, hiển thị màn hình đen hoặc trắng, và tăng/giảm âm lượng để hoạt động một cách lén lút.
Nó cũng cài đặt một mô-đun truy cập từ xa dựa trên VNC để cho phép các threat actor tương tác từ xa với các điện thoại bị xâm nhập. Một phiên bản của cơ chế tương tác dựa trên VNC sử dụng các dịch vụ accessibility của Android để hiển thị tất cả các yếu tố giao diện người dùng và accessibility có trên màn hình thiết bị.
"Cơ chế streaming dựa trên accessibility này được thiết kế có chủ đích để bypass các giới hạn do tính năng bảo vệ FLAG_SECURE của Android áp đặt," các nhà nghiên cứu giải thích.
"Vì nhiều ứng dụng ngân hàng và cryptocurrency hiện nay chặn quay màn hình, chụp màn hình và ghi lại hiển thị khi cờ này được bật, việc tận dụng các dịch vụ accessibility cho phép mã độc có được một cái nhìn đầy đủ, ở cấp độ node của giao diện mà không kích hoạt bất kỳ biện pháp bảo vệ nào thường liên quan đến các kỹ thuật chụp màn hình trực tiếp."
Giống như các banking trojan dựa trên Android khác, Albiriox hỗ trợ các cuộc tấn công overlay chống lại một danh sách ứng dụng mục tiêu được hard-code để đánh cắp credential. Hơn nữa, nó có thể hoạt động như các overlay giả mạo một bản cập nhật hệ thống hoặc màn hình đen để cho phép các hoạt động độc hại được thực hiện trong nền mà không gây sự chú ý.
Cleafy cũng cho biết họ đã quan sát thấy một phương pháp phân phối hơi thay đổi, chuyển hướng người dùng đến một trang web giả mạo PENNY, nơi các nạn nhân được hướng dẫn nhập số điện thoại để nhận liên kết tải xuống trực tiếp qua WhatsApp. Trang này hiện chỉ chấp nhận số điện thoại của Áo. Các số điện thoại đã nhập được exfiltrate đến một Telegram bot.
"Albiriox thể hiện tất cả các đặc điểm cốt lõi của mã độc lừa đảo trên thiết bị (ODF) hiện đại, bao gồm điều khiển từ xa dựa trên VNC, tự động hóa dựa trên accessibility, các overlay có mục tiêu và credential harvesting động," Cleafy cho biết. "Những khả năng này cho phép kẻ tấn công bypass các cơ chế xác thực và phát hiện gian lận truyền thống bằng cách hoạt động trực tiếp trong phiên hợp lệ của nạn nhân."
Tiết lộ này trùng hợp với sự xuất hiện của một công cụ MaaS Android khác có tên mã RadzaRat, giả mạo một tiện ích quản lý tệp hợp pháp, chỉ để giải phóng khả năng giám sát và điều khiển từ xa rộng rãi sau khi cài đặt. RAT này lần đầu tiên được quảng cáo trên một diễn đàn cybercrime ngầm vào ngày 8 tháng 11 năm 2025.
"Nhà phát triển mã độc, hoạt động dưới biệt danh 'Heron44', đã định vị công cụ này như một giải pháp truy cập từ xa dễ tiếp cận, yêu cầu kiến thức kỹ thuật tối thiểu để triển khai và vận hành," nhà nghiên cứu Sophia Taylor của Certo cho biết. "Chiến lược phân phối này phản ánh một sự dân chủ hóa đáng lo ngại của các công cụ cybercrime."
Điểm mấu chốt của RadzaRat là khả năng điều phối truy cập và quản lý hệ thống tệp từ xa, cho phép các cybercriminal duyệt các thư mục, tìm kiếm các tệp cụ thể và tải dữ liệu từ thiết bị bị xâm nhập. Nó cũng lạm dụng các dịch vụ accessibility để ghi lại các keystroke của người dùng và sử dụng Telegram cho C2.
Để đạt được persistence, mã độc này sử dụng các quyền RECEIVE_BOOT_COMPLETED và RECEIVE_LOCKED_BOOT_COMPLETED, cùng với một thành phần BootReceiver chuyên dụng, để đảm bảo nó được tự động khởi chạy khi thiết bị khởi động lại. Ngoài ra, nó tìm kiếm quyền REQUEST_IGNORE_BATTERY_OPTIMIZATIONS để miễn trừ khỏi các tính năng tối ưu hóa pin của Android có thể hạn chế hoạt động nền của nó.
"Việc nó ngụy trang thành một trình quản lý tệp chức năng, kết hợp với khả năng giám sát và data exfiltration rộng rãi, khiến nó trở thành một mối đe dọa đáng kể đối với cả người dùng cá nhân và tổ chức," Certo cho biết.
Những phát hiện này xuất hiện khi các trang đích Google Play Store giả mạo cho một ứng dụng có tên "GPT Trade" ("com.jxtfkrsl.bjtgsb") đã phân phối mã độc Android BTMOB và một mô-đun persistence được gọi là UASecurity Miner. BTMOB, lần đầu tiên được ghi nhận bởi Cyble vào tháng 2 năm 2025, được biết đến là lạm dụng các dịch vụ accessibility để mở khóa thiết bị, ghi lại các keystroke, tự động hóa việc đánh cắp credential thông qua injection và cho phép điều khiển từ xa.
Các chiêu trò social engineering sử dụng nội dung người lớn làm mồi nhử cũng đã củng cố một mạng lưới phân phối mã độc Android tinh vi để phân phối một tệp APK độc hại bị obfuscate nặng, yêu cầu các quyền nhạy cảm cho phishing overlays, screen capture, cài đặt mã độc khác và thao tác hệ thống tệp.
"Nó sử dụng kiến trúc nhiều giai đoạn, có khả năng phục hồi với các trang web mồi nhử front-end sử dụng obfuscation và mã hóa cấp thương mại để ẩn và kết nối động với một cơ sở hạ tầng backend riêng biệt," Palo Alto Networks Unit 42 cho biết. "Các trang web mồi nhử front-end sử dụng các thông báo tải lừa đảo và một loạt các kiểm tra, bao gồm thời gian tải hình ảnh thử nghiệm, để trốn tránh phát hiện và phân tích."
