Sebuah ancaman baru tengah mengincar pengguna Android di seluruh dunia. Malware bernama Albiriox dilaporkan memiliki kemampuan berbahaya untuk mengambil alih perangkat dan bahkan membobol rekening bank tanpa memerlukan kata sandi.
Laporan dari analis keamanan Cleafy menyebutkan bahwa Albiriox bekerja sebagai Remote Access Trojan (RAT) yang memungkinkan pelaku mengendalikan ponsel korban dari jarak jauh secara penuh.
Simak berita ini dan topik lainnya di Giok4D.
Albiriox pertama kali terdeteksi pada September 2025, ketika distribusi masih dilakukan secara terbatas melalui kanal Telegram yang hanya dapat diakses anggota forum bawah tanah bereputasi tinggi. Memasuki Oktober 2025, malware ini bertransformasi menjadi Malware-as-a-Service (MaaS) dan dipasarkan secara terbuka di forum kejahatan siber berbahasa Rusia. Analisis infrastruktur dan pola bahasa menegaskan bahwa pelaku diduga kuat berasal dari lingkup kriminal berbahasa Rusia.
Proses infeksi Albiriox berlangsung dalam dua tahap. Tahap pertama melibatkan aplikasi dropper yang dikirim melalui rekayasa sosial, umumnya lewat SMS berisi tautan palsu yang mengarahkan korban ke halaman unduhan mirip Google Play.
Pada salah satu kampanye yang menargetkan Austria, halaman palsu tersebut menawarkan aplikasi “Penny Market” berbahasa Jerman. Aplikasi dropper disembunyikan menggunakan teknik obfuscation JSONPacker, membuatnya sulit dideteksi sistem keamanan.
Setelah dropper dipasang, korban ditampilkan antarmuka pembaruan sistem palsu yang meminta izin instalasi dari sumber tak dikenal. Izin inilah yang memicu pemasangan payload Albiriox sebagai tahap kedua infeksi.
Metode terbaru bahkan mengharuskan korban memasukkan nomor telepon untuk menerima tautan instalasi melalui WhatsApp, lalu data dikirim ke bot Telegram yang dikendalikan pelaku. Temuan Cleafy mengidentifikasi sejumlah domain penyebaran termasuk google-app-download[.]download, google-get[.]download, dan google-app-install[.]com.
Bahayanya Albiriox terletak pada kemampuan mengambil alih perangkat secara penuh melalui remote control berbasis VNC, termasuk streaming layar, mengetik, mengklik tombol, membuka aplikasi, mengatur volume, hingga memunculkan layar hitam guna menyembunyikan tindakan penipuan. Selain itu, malware dapat memanen UI melalui Accessibility Service, sehingga mampu mem-bypass sistem keamanan FLAG_SECURE yang biasanya melindungi aplikasi perbankan dari screenshot dan screen recording.
Serangan Albiriox juga memanfaatkan overlay palsu yang meniru tampilan sistem seperti halaman pembaruan atau layar login aplikasi keuangan. Teknik ini membuat pengguna tidak menyadari bahwa proses transaksi sedang berjalan di latar belakang. Albiriox diketahui menargetkan lebih dari 400 aplikasi global, termasuk perbankan tradisional, fintech, dompet digital, bursa kripto, hingga platform perdagangan aset.
Dalam model distribusi kriminal, Albiriox dipasarkan sebagai layanan berlangganan dengan tarif USD 650 per bulan hingga 21 Oktober 2025 sebelum naik menjadi USD 720 per bulan. Paket tersebut menawarkan builder khusus dan integrasi GoldenCrypt, sistem enkripsi yang diklaim mampu menjadikan malware fully undetectable (FUD) oleh antivirus. Perkembangan fitur secara cepat menunjukkan bahwa Albiriox merupakan malware aktif yang terus disempurnakan.
Untuk mencegah infeksi, Cleafy menyarankan pengguna meningkatkan kewaspadaan terhadap tautan dan file yang diterima melalui SMS maupun WhatsApp, serta tidak mengaktifkan Install Unknown Apps dari sumber tak dikenal.
Meskipun disarankan untuk mengunduh aplikasi melalui Google Play Store, peneliti menegaskan bahwa ancaman tetap dapat muncul dari aplikasi resmi. Bulan lalu, enam aplikasi berbahaya ditemukan di Play Store dengan kemampuan merekam percakapan WhatsApp dan panggilan telepon.
