Di tengah semakin canggihnya teknologi mobile, muncul satu ancaman baru yang lagi ramai dibahas di kalangan peneliti keamanan: Albiriox, sebuah keluarga malware Android yang digarap dengan sangat rapi dan ditawarkan sebagai layanan atau Malware-as-a-Service (MaaS).
Baca Juga : 8 Aplikasi AI Merubah Suara Yang Wajib Kamu Coba!
Buat kamu yang mengandalkan smartphone untuk aktivitas harian—termasuk transaksi keuangan—malware ini wajib banget diwaspadai.
Menurut laporan dari tim keamanan Cleafy, Albiriox bukan sekadar malware pencuri data biasa. Ia dirancang untuk melakukan On-Device Fraud (ODF), yaitu teknik penipuan yang memanfaatkan kontrol penuh atas perangkat korban. Dengan kata lain, begitu perangkat terinfeksi, penyerang bisa mengakses, mengontrol, dan menjalankan aktivitas layaknya pengguna asli—bahkan sambil kamu tetap memakai ponsel itu tanpa sadar.
Dari Forum
Albiriox pertama kali terlihat pada September 2025, beredar secara eksklusif di forum-forum gelap. Awalnya hanya tersedia dalam bentuk beta tertutup, tapi pada Oktober, para pelaku mulai merilisnya sebagai layanan komersial lengkap.
Menariknya, operasi ini diduga dikelola oleh kelompok threat actor berbahasa Rusia. Mereka memasarkan Albiriox secara agresif dengan model langganan sekitar $650 per bulan, lengkap dengan berbagai fitur premium untuk para afiliasi mereka.
Harga yang cukup mahal, tapi sebanding dengan kemampuan yang mereka tawarkan.
Remote Access Real-Time Lewat VNC
Salah satu alasan Albiriox dianggap sangat berbahaya adalah cara kerjanya yang berbasis interaksi langsung. Malware ini menggunakan modul VNC (Virtual Network Computing) untuk melakukan streaming layar korban secara real-time ke perangkat penyerang.
Artinya, penyerang bisa:
-
Melihat layar kamu saat itu juga
-
Mengontrol aplikasi perbankan
-
Melakukan transaksi secara manual
-
Menghindari deteksi fingerprinting perangkat
-
Bahkan menembus proteksi 2FA
Semua dilakukan dari perangkat korban, sehingga aktivitas mencurigakan terlihat seolah-olah dilakukan oleh pemilik asli.
Rantai Infeksi Dua Tahap yang Sulit Terdeteksi
Untuk menyebarkan malware ini, pelaku menggunakan metode dua tahap yang dirancang supaya tidak mudah terdeteksi. Kampanye awalnya sempat menyasar pengguna di Austria dengan memalsukan aplikasi populer bernama “Penny Market”.
Berikut pola infeksinya:
1. Social Engineering
Korban menerima SMS berisi tautan pendek yang mengklaim memberikan hadiah atau diskon. Saat di-klik, mereka diarahkan ke halaman Google Play palsu.
2. Instalasi Dropper
Aplikasi palsu (misalnya Penny Market versi tiruan) diunduh ke perangkat korban.
3. Pengantaran Payload
Setelah terpasang, aplikasi dropper akan meminta izin Install Unknown Apps, lalu mengunduh payload Albiriox dari server command-and-control (C2).
Versi terbaru bahkan memakai metode lure berbasis WhatsApp, di mana korban diminta memasukkan nomor telepon untuk mendapatkan tautan unduhan, sehingga pelaku bisa memfilter target secara geografis.
Teknik Kamuflase yang Bikin Antivirus Ketipu
Dari sisi arsitektur, Albiriox dibangun dengan fokus penuh pada stealth alias kemampuan bersembunyi.
Beberapa teknik yang digunakan antara lain:
-
Golden Crypt, layanan crypting pihak ketiga agar malware Fully Undetectable (FUD) oleh antivirus statis
-
Penyalahgunaan Accessibility Services untuk membuat overlay dan mencatat ketikan
-
Pemanfaatan JSONPacker untuk menyamarkan komponen berbahaya
-
Dropper dua tahap untuk menyulitkan analisis
Malware ini juga membawa daftar target berisi lebih dari 400 aplikasi, termasuk aplikasi bank besar, dompet crypto, hingga layanan pembayaran internasional.
Profil Teknis Operasi Albiriox
Berikut gambaran singkat mengenai kemampuan teknis yang ditemukan dalam analisis:
| Feature | Details |
|---|---|
| Malware Type | Android Banking Trojan / Remote Access Trojan (RAT) |
| Distribution Model | Malware-as-a-Service (MaaS) |
| Primary Tactics | On-Device Fraud (ODF), Overlay Attacks, VNC Streaming |
| Target Scope | 400+ Financial & Crypto Applications |
| Evasion Technique | “Golden Crypt” obfuscation, JSONPacker, Two-stage dropper |
| Command & Control | Unencrypted TCP Socket with JSON-based commands |
Mengapa Albiriox Sangat Berbahaya?
Perkembangan Albiriox cukup agresif. Kombinasi kemampuan streaming layar + manipulasi aksesibilitas memungkinkan penyerang bekerja di balik layar hitam (black-screen overlay), sehingga aktivitas mereka benar-benar tak terlihat oleh korban.
Dengan kemampuan ini, Albiriox kini dipandang sebagai salah satu ancaman terbesar bagi pengguna Android dan lembaga keuangan yang bergantung pada verifikasi perangkat.
Baca Juga : Google Peringatkan Bug 0-Click di Android yang Bisa Curi Data Pengguna
Indikator Kompromi (IoCs)
Kalau kamu bekerja di bidang keamanan siber atau IT, berikut daftar IoCs penting yang perlu dicatat:
| Indicator Type | Value | Port / Notes |
|---|---|---|
| C2 Server IP | 194.32.79.94 | 5555 (Linked to sample f5b501e3…) |
| Delivery Domain | google-app-download[.]download | Phishing / Dropper Delivery |
| Delivery Domain | google-get[.]download | Phishing / Dropper Delivery |
| Delivery Domain | google-aplication[.]download | Phishing / Dropper Delivery |
| Delivery Domain | play.google-get[.]store | Phishing / Dropper Delivery |
| Delivery Domain | google-app-get[.]com | Phishing / Dropper Delivery |
| Delivery Domain | google-get-app[.]com | Phishing / Dropper Delivery |
| Delivery Domain | google-app-install[.]com | Phishing / Dropper Delivery |
