A era do malware como serviço no Android chegou a um ponto crítico, o cibercrime nunca foi tão acessível, e isso é um problema direto para qualquer pessoa que usa um smartphone Android no dia a dia. O modelo MaaS democratizou ataques avançados, permitindo que criminosos sem conhecimento técnico explorem ferramentas prontas para invadir dispositivos, roubar credenciais e sequestrar contas bancárias. Essa nova fase é marcada por trojans como Albiriox e RadzaRat, que representam uma ameaça crescente para usuários comuns e para quem depende de aplicativos financeiros, bancos digitais, carteiras de criptomoedas e serviços de pagamento.
Neste artigo, você entenderá como esse ecossistema de ataques se transformou em um mercado global, por que os novos trojans são tão perigosos e de que forma exploram tecnologias como VNC e os Serviços de Acessibilidade para obter controle total do Android e até driblar proteções críticas como o FLAG_SECURE. O objetivo é mostrar como esses ataques funcionam na prática, conscientizar sobre os riscos e fornecer um guia prático para proteger seu dispositivo.
O que é malware como serviço e por que ele cresce
O modelo de malware como serviço, conhecido como MaaS, funciona de forma semelhante ao software legítimo oferecido por assinatura. Criminosos criam plataformas completas com painel de controle, módulos plugáveis, atualizações constantes e até suporte técnico. Em vez de desenvolver código malicioso do zero, qualquer pessoa pode pagar para ter acesso a ferramentas profissionais de espionagem, infostealers e trojans bancários, aumentando a escala e reduzindo a barreira de entrada.
Um dos polos desse mercado vem crescendo em comunidades clandestinas de língua russa, onde desenvolvedores oferecem desde kits de ataque até serviços de hospedagem e distribuição, facilitando campanhas globais de sequestro de contas. Esse cenário fez o MaaS explodir no Android, especialmente porque o ecossistema é diversificado, aberto e altamente dependente de permissões críticas como Acessibilidade, que continuam sendo um vetor favorito de ataque.
A ameaça Albiriox, alvo em mais de 400 apps e com táticas de evasão
O Albiriox é hoje um dos trojans mais agressivos criados dentro do modelo malware como serviço. Ele mira mais de 400 aplicativos financeiros em diferentes países, incluindo bancos, carteiras de criptomoedas, fintechs e processadores de pagamento. Seu foco principal é capturar credenciais, interceptar senhas de uso único e manipular transações diretamente na tela da vítima.
Para infectar usuários, o Albiriox depende de droppers, pequenos aplicativos aparentemente inofensivos que escondem o código malicioso e só revelam sua função quando recebem comandos do servidor. Esses droppers são frequentemente publicados como otimizadores de sistema, atualizadores falsos ou ferramentas premium desbloqueadas.
Outro ponto crítico é o uso do serviço clandestino conhecido como Golden Crypt, especializado em ofuscar código, empacotar malwares e torná-los indetectáveis para antivírus e sistemas de análise. Essa camada adicional de camuflagem torna o Albiriox extremamente difícil de rastrear, permitindo que campanhas ativas circulem por semanas antes de serem identificadas por analistas de segurança.
Como o malware burla o Android com VNC e serviços de acessibilidade
A combinação de VNC com Serviços de Acessibilidade é o coração da ameaça representada pelo Albiriox e pelo RadzaRat. Quando ativados, esses mecanismos permitem que o atacante assuma controle remoto do Android, veja tudo que acontece na tela e realize ações como toques, deslizes e preenchimento de formulários.
O VNC, tradicionalmente usado para acesso remoto em computadores, está sendo adaptado de forma clandestina para ambientes mobile. Em vez de simplesmente espelhar a tela, o malware cria um fluxo de vídeo comprimido que transmite o que o usuário faz, além de aceitar comandos enviados pelo criminoso. Isso transforma o dispositivo infectado em uma janela interativa, permitindo que o atacante mova o dedo virtualmente sobre a interface do Android.
O componente mais perigoso é o abuso dos Serviços de Acessibilidade, que foram projetados para ajudar pessoas com necessidades especiais a interagir com o smartphone. O malware se aproveita dessas permissões para clicar em botões, navegar em menus, autorizar transações e até digitar dados sem que o usuário perceba.
Com essa combinação, o Albiriox consegue violar a proteção FLAG_SECURE, uma camada de segurança ativada por muitos aplicativos bancários para impedir capturas de tela e gravações. Como o criminoso controla o dispositivo em tempo real, ele simplesmente atua acima da camada gráfica, enxergando o conteúdo mesmo quando o app tenta bloquear visualizações externas.
Radzarat e a vigilância sob disfarce
O RadzaRat segue uma linha parecida de operação, porém com um foco maior em vigilância, espionagem e persistência prolongada. Ele frequentemente se disfarça como um gerenciador de arquivos para convencer o usuário a conceder permissões críticas. Esse disfarce facilita a ativação de Acessibilidade, instalação de pacotes adicionais e acesso a diretórios internos.
utro componente essencial do RadzaRat é seu sistema de comando e controle via Telegram, uma técnica que se tornou popular entre desenvolvedores de malware por causa da criptografia, da facilidade de criação de bots e da dificuldade de bloqueio. Isso permite ao atacante baixar módulos adicionais, enviar instruções e receber informações sensíveis do dispositivo sem precisar manter uma infraestrutura complexa.
O resultado é um trojan furtivo, persistente e capaz de operar por longos períodos sem despertar suspeitas, oferecendo ao atacante coleta contínua de dados, leitura de notificações, captura de tela e manipulação remota.
Proteja seu Android, guia de prevenção contra MaaS e trojans
A proteção contra esses ataques exige vigilância e bons hábitos de segurança, especialmente porque grande parte das infecções começa com engenharia social. É essencial ficar atento a qualquer aplicativo que solicite permissões de Acessibilidade, já que essa é a variável mais explorada pelos novos trojans. Sempre verifique se o app realmente precisa desse nível de acesso antes de autorizar.
Evite instalar apps fora da loja oficial e desconfie de arquivos enviados por SMS ou WhatsApp, já que muitos ataques começam com mensagens dizendo que o dispositivo precisa de atualização, que um pedido foi cancelado ou que há um documento aguardando visualização.
Outra medida importante é revisar regularmente quais apps têm permissões de Acessibilidade e remover qualquer item desconhecido. Configure também autenticação multifator nos aplicativos financeiros e evite usar códigos enviados por SMS sempre que possível, já que esse é um dos primeiros alvos dos trojans.
Conscientizar amigos e familiares é parte fundamental da defesa coletiva. Compartilhe este conteúdo com quem usa apps financeiros no Android, especialmente pessoas que possam não notar sinais de infecção ou não entender o risco envolvido. Ao fortalecer a cultura de segurança digital, reduzimos o impacto das campanhas MaaS e dificultamos o avanço dos criminosos.
