Como remover o malware Albiriox do seu dispositivo Android
TrojanTambém conhecido como: Albiriox RAT (Trojan de acesso remoto)
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o Albiriox?
O Albiriox é um sofisticado RAT (Remote Access Trojan, ou Trojan de Acesso Remoto) específico para Android, com amplos recursos de trojan bancário. A sua lista de alvos abrange mais de 400 bancos e serviços financeiros.
Este malware surgiu pela primeira vez em setembro de 2025 e foi posteriormente oferecido como MaaS (Malware-as-a-Service) um mês depois. No momento da redação deste artigo, o Albiriox está em desenvolvimento ativo. As evidências mostram que os operadores do RAT são falantes da língua russa.
Visão geral do malware Albiriox
As infecções conhecidas pelo Albiriox dependiam de um dropper. Ele apresentava à vítima uma interface falsa de «Atualização do Sistema» que solicitava várias permissões. Fundamentalmente, ele precisava obter permissões para usar os Serviços de Acessibilidade do Android e instalar aplicações de terceiros («Instalar Aplicações Desconhecidas»). Uma vez concedidas, o dropper infiltrava o Albiriox.
A dependência de um dropper não é a única técnica anti-detecção utilizada por esta infecção. A carga útil (Albiriox) é descompactada dinamicamente e possui código ofuscado. Os operadores do malware também estão a oferecer uma ferramenta anti-detecção adicional de outro desenvolvedor.
Após a infiltração bem-sucedida, ele estabelece comunicação com o seu servidor C&C (Comando e Controlo) através de uma ligação TCP Socket não encriptada. A primeira ação é recolher dados relevantes do dispositivo e enviá-los para o servidor C&C (ou seja, ID do hardware, modelo do smartphone, versão do sistema operativo Android, etc.).
Como um Trojan de Acesso Remoto (RAT), o Albiriox permite o acesso e controlo remotos sobre máquinas infetadas. O Albiriox permite um nível de controlo próximo ao nível do utilizador. Ele introduz um módulo de acesso remoto baseado em VNC (Virtual Network Computing). O trojan permite a interação em tempo real com o dispositivo infetado. Ele pode transmitir a tela ao vivo, interagir com a interface, simular gestos (por exemplo, cliques, pressionamentos, deslizes, etc.) e executar vários comandos. Assim, o Albiriox é capaz de realizar atividades maliciosas em tempo real.
O RAT pode exibir três tipos de sobreposições: telas que se fazem passar por atualizações legítimas do sistema, telas de apagão para ocultar todas as atividades e telas de phishing que imitam aplicativos genuínos.
Os Serviços de Acessibilidade são projetados para auxiliar na interação com o dispositivo para usuários que precisam deles. Ao abusar desses serviços, programas maliciosos ganham todos os seus recursos (por exemplo, ler a tela, simular a tela tátil, interagir com o teclado, etc.). Os Serviços de Acessibilidade do Android são cruciais para o Albiriox ao realizar transações fraudulentas e outras operações financeiras, já que muitos aplicativos relacionados bloqueiam ou alertam sobre tentativas de captura de tela e gravação de tela.
No momento da pesquisa, o Albiriox incluía mais de 400 alvos codificados, incluindo bancos, processamento de pagamentos, câmbio de criptomoedas, carteiras digitais e outros aplicativos relacionados a finanças. Mais da metade dos aplicativos está relacionada a criptomoedas e mais de uma centena são aplicativos bancários. A rede criada por esse malware é mundial; os serviços visados não se limitam a uma única região.
O Albiriox recolhe uma lista de software instalado. Ele rastreia aplicações abertas e pode iniciá-las por conta própria. Ao interagir com o dispositivo em tempo real, o trojan pode usar a sobreposição preta e ocultar atividades, como transações e transferências fraudulentas.
Assim que um aplicativo de interesse é iniciado, o Albiriox pode realizar um ataque de sobreposição. Isso envolve cobrir o software com uma tela de phishing que imita perfeitamente o original e grava as informações inseridas (por exemplo, IDs, senhas, frases-passe, códigos 2FA/MFA, informações de identificação pessoal, números de cartões de crédito/débito, etc.).
Alguns dos outros comandos que o Albiriox pode executar nos dispositivos incluem: obter/redefinir/remover dados de bloqueio do dispositivo (por exemplo, padrão, palavra-passe ou PIN), abrir «Aplicações recentes», selecionar o botão/opção «Voltar» e «Início», colocar o dispositivo em modo de suspensão, ativar o dispositivo, aumentar/diminuir o volume, desinstalar aplicações, inserir texto em campos selecionados, etc.
Vale a pena reiterar que, no momento da redação deste artigo, o Albiriox ainda está em desenvolvimento. Portanto, futuras variantes deste RAT podem ter capacidades e funcionalidades adicionais/diferentes.
Em resumo, a presença de software malicioso como o Albiriox nos dispositivos pode levar a graves problemas de privacidade, perdas financeiras significativas e roubo de identidade.
| Nome | Albiriox RAT (Trojan de acesso remoto) |
| Tipo de ameaça | Malware Android, aplicação maliciosa, trojan, trojan de acesso remoto, ferramenta de administração remota, RAT. |
| Nomes de detecção | AhnLab-V3 (Trojan/Android.SpyAgent.1313398), Combo Cleaner (Android.Riskware.Agent.aARLK), ESET-NOD32 (Android/Spy.Banker.DZC Trojan), Symantec Mobile Insight (AppRisk:Generisk), Lista completa (VirusTotal) |
| Sintomas | O dispositivo está lento, as configurações do sistema são modificadas sem a permissão do utilizador, aplicativos questionáveis aparecem, o uso de dados e da bateria aumenta significativamente. |
| Métodos de distribuição | Anexos de e-mail infetados, anúncios online maliciosos, engenharia social, aplicações enganosas, sites fraudulentos. |
| Danos | Informações pessoais roubadas (mensagens privadas, logins/senhas, etc.), diminuição do desempenho do dispositivo, bateria descarregada rapidamente, diminuição da velocidade da Internet, enormes perdas de dados, perdas monetárias, roubo de identidade (aplicativos maliciosos podem abusar de aplicativos de comunicação). |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Exemplos de trojans de acesso remoto específicos para Android
Já escrevemos sobre vários programas maliciosos; Fantasy Hub, BankBot, Asur, G700 e BingoMod são apenas alguns dos nossos artigos sobre RATs que têm como alvo dispositivos Android.
Os trojans de acesso remoto podem ser incrivelmente versáteis e permitir que os invasores assumam o controlo total dos dispositivos. No entanto, independentemente de como o malware opera, a sua presença no sistema coloca em risco a integridade do dispositivo e a privacidade do utilizador. Portanto, todas as ameaças devem ser removidas imediatamente após a detecção.
Como o Albiriox se infiltrou no meu dispositivo?
Como mencionado anteriormente, o Albiriox é oferecido como MaaS em fóruns de hackers. Portanto, a forma como é distribuído pode depender dos cibercriminosos que o utilizam (ou seja, os métodos podem variar entre os ataques).
A primeira campanha conhecida ocorreu antes do lançamento do trojan MaaS, em outubro de 2025. Foi uma campanha pequena e limitada, direcionada a utilizadores austríacos. Começou com spam por SMS contendo um URL encurtado que levava os destinatários a um site que imitava uma página em alemão da Google Play Store. Promovia um aplicativo falso para a cadeia de supermercados de descontos Penny. O dropper do Albiriox era baixado diretamente dessa página fraudulenta.
Noutra iteração da campanha Penny, o download do dropper era indireto. A página informava que o link para download seria enviado pelo WhatsApp Messenger e solicitava que os utilizadores fornecessem os seus números de telefone.
Para explicar melhor, os utilizadores foram instruídos a selecionar o posto de gasolina no qual gostariam de receber descontos, «girar uma roda» para obter o valor do desconto e inserir o seu número de telefone, com a promessa de um contato rápido de um representante. A campanha foi bloqueada geograficamente e coletou apenas números austríacos, que foram então enviados para o bot do Telegram dos cibercriminosos.
Outros disfarces e técnicas de proliferação são altamente prováveis. Engenharia social e táticas de phishing são comuns. Normalmente, programas maliciosos são apresentados como conteúdo normal ou incluídos em pacotes com conteúdo normal.
Os métodos mais comuns de distribuição de malware incluem: canais de download não confiáveis (por exemplo, sites de freeware e hospedagem gratuita de ficheiros, redes de partilha P2P, lojas de aplicações de terceiros, etc.), downloads drive-by (furtivos e enganosos), golpes online, anexos ou links maliciosos em spam (por exemplo, e-mails, mensagens privadas/diretas, SMS, publicações em redes sociais, etc.), malvertising, conteúdo pirata, ferramentas de ativação de software ilegal ("cracks") e atualizações falsas.
Alguns programas maliciosos podem propagar-se automaticamente através de redes locais e dispositivos de armazenamento removíveis (por exemplo, discos rígidos externos, unidades flash USB, etc.).
Como evitar a instalação de malware?
A cautela é fundamental para garantir a segurança do dispositivo e do utilizador. Portanto, pesquise sempre o software lendo os termos e as avaliações de especialistas/utilizadores, inspecionando as permissões necessárias e verificando a legitimidade do desenvolvedor. Faça o download apenas de fontes oficiais e verificadas. Ative e atualize os programas usando funções/ferramentas genuínas, pois as obtidas de terceiros podem conter malware.
Tenha cuidado ao navegar, pois a Internet está repleta de conteúdos falsos e maliciosos. Não abra anexos ou links encontrados em comunicações suspeitas/irrelevantes (por exemplo, e-mails, mensagens privadas/diretas, SMS, etc.).
É fundamental ter um antivírus confiável instalado e mantido atualizado. O software de segurança deve ser usado para realizar verificações regulares do sistema e remover ameaças ativas e potenciais.
Captura de ecrã de uma página falsa da Google Play Store que espalha o Albiriox (fonte da imagem – Cleafy LABS):
Captura de ecrã do Albiriox promovido num fórum de hackers (fonte da imagem – Cleafy LABS):
Menu rápido:
- Introdução
- Como eliminar o histórico de navegação do navegador Chrome?
- Como desativar as notificações do navegador Chrome?
- Como redefinir o navegador Chrome?
- Como eliminar o histórico de navegação do navegador Firefox?
- Como desativar as notificações do navegador Firefox?
- Como reiniciar o navegador Firefox?
- Como desinstalar aplicações potencialmente indesejadas e/ou maliciosas?
- Como inicializar o dispositivo Android no "Modo de segurança"?
- Como verificar o uso da bateria por vários aplicativos?
- Como verificar o uso de dados de vários aplicativos?
- Como instalar as atualizações de software mais recentes?
- Como redefinir o sistema para o seu estado padrão?
- Como desativar aplicações que têm privilégios de administrador?
Elimine o histórico de navegação do navegador Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.
Toque em «Limpar dados de navegação», selecione o separador «AVANÇADO», escolha o intervalo de tempo e os tipos de dados que deseja eliminar e toque em «Limpar dados».
Desative as notificações do navegador no navegador Chrome:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Definições» no menu suspenso aberto.
Desça até ver a opção «Definições do site» e toque nela. Desça até ver a opção «Notificações» e toque nela.
Encontre os sites que enviam notificações do navegador, toque neles e clique em «Limpar e redefinir». Isso removerá as permissões concedidas a esses sites para enviar notificações. No entanto, quando visitar o mesmo site novamente, ele poderá solicitar a permissão novamente. Pode optar por conceder ou não essas permissões (se optar por recusar, o site irá para a secção "Bloqueado" e não solicitará mais a sua permissão).
Reinicie o navegador Chrome:
Vá para «Definições», desça até ver «Aplicações» e toque nessa opção.
Desça até encontrar a aplicação «Chrome», selecione-a e toque na opção «Armazenamento».
Toque em «GERIR ARMAZENAMENTO», depois em «APAGAR TODOS OS DADOS» e confirme a ação tocando em «OK». Tenha em atenção que a reinicialização do navegador eliminará todos os dados armazenados nele. Isto significa que todos os logins/senhas guardados, histórico de navegação, configurações não padrão e outros dados serão apagados. Terá também de voltar a iniciar sessão em todos os sites.
Elimine o histórico de navegação do navegador Firefox:
Toque no botão «Menu» (três pontos no canto superior direito do ecrã) e selecione «Histórico» no menu suspenso aberto.
Desça até ver «Limpar dados privados» e toque nele. Selecione os tipos de dados que deseja remover e toque em «LIMPAR DADOS».
Desative as notificações do navegador no navegador Firefox:
Visite o site que está a enviar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um «Cadeado») e selecione «Editar configurações do site».
Na janela pop-up aberta, selecione a opção «Notificações» e toque em «APAGAR».
Reinicie o navegador Firefox:
Vá para «Definições», desça até ver «Aplicações» e toque nela.
Desça até encontrar a aplicação «Firefox», selecione-a e toque na opção «Armazenamento».
Toque em «LIMPAR DADOS» e confirme a ação tocando em «ELIMINAR». Tenha em atenção que a redefinição do navegador eliminará todos os dados armazenados no mesmo. Isto significa que todos os logins/palavras-passe guardados, histórico de navegação, definições não predefinidas e outros dados serão eliminados. Terá também de voltar a iniciar sessão em todos os sites.
Desinstale aplicações potencialmente indesejadas e/ou maliciosas:
Vá para «Definições», desça até ver «Aplicações» e toque nessa opção.
Role para baixo até ver um aplicativo potencialmente indesejado e/ou malicioso, selecione-o e toque em "Desinstalar". Se, por algum motivo, não conseguir remover o aplicativo selecionado (por exemplo, se for exibida uma mensagem de erro), tente usar o "Modo de segurança".
Inicie o dispositivo Android no «Modo de segurança»:
O «Modo de segurança» no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Utilizar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar «normalmente»).
Pressione o botão «Power» e mantenha-o pressionado até ver o ecrã «Power off». Toque no ícone «Desligar» e mantenha-o pressionado. Após alguns segundos, a opção «Modo de segurança» aparecerá e poderá executá-la reiniciando o dispositivo.
Verifique o uso da bateria por várias aplicações:
Vá para «Definições», desça até ver «Manutenção do dispositivo» e toque nela.
Toque em «Bateria» e verifique a utilização de cada aplicação. As aplicações legítimas/genuínas são concebidas para utilizar o mínimo de energia possível, a fim de proporcionar a melhor experiência ao utilizador e poupar energia. Por conseguinte, uma utilização elevada da bateria pode indicar que a aplicação é maliciosa.
Verifique o uso de dados de vários aplicativos:
Vá para «Definições», desça até ver «Ligações» e toque nessa opção.
Role para baixo até ver «Utilização de dados» e selecione esta opção. Tal como acontece com a bateria, as aplicações legítimas/genuínas são concebidas para minimizar a utilização de dados tanto quanto possível. Isto significa que uma utilização excessiva de dados pode indicar a presença de uma aplicação maliciosa. Note que algumas aplicações maliciosas podem ser concebidas para funcionar apenas quando o dispositivo está ligado a uma rede sem fios. Por este motivo, deve verificar a utilização de dados móveis e Wi-Fi.
Se encontrar uma aplicação que consome muitos dados, mesmo que nunca a utilize, recomendamos vivamente que a desinstale o mais rapidamente possível.
Instale as atualizações de software mais recentes:
Manter o software atualizado é uma boa prática quando se trata da segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente várias correções de segurança e atualizações do Android para corrigir erros e bugs que podem ser explorados por criminosos cibernéticos. Um sistema desatualizado é muito mais vulnerável, por isso deve sempre certificar-se de que o software do seu dispositivo está atualizado.
Vá para «Definições», desça até ver «Atualização de software» e toque nessa opção.
Toque em «Transferir atualizações manualmente» e verifique se existem atualizações disponíveis. Se existirem, instale-as imediatamente. Também recomendamos ativar a opção «Transferir atualizações automaticamente» - isso permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.
Redefinir o sistema para o seu estado padrão:
Executar uma «Reposição de fábrica» é uma boa maneira de remover todas as aplicações indesejadas, restaurar as configurações padrão do sistema e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados dentro do dispositivo serão apagados, incluindo fotos, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.
Você também pode restaurar as configurações básicas do sistema e/ou simplesmente as configurações de rede.
Vá para «Definições», desça até ver «Sobre o telefone» e toque nele.
Role para baixo até ver «Repor» e toque nele. Agora escolha a ação que deseja realizar:
«Repor definições» - restaurar todas as definições do sistema para o padrão;
«Repor definições de rede» - restaura todas as definições relacionadas com a rede para o padrão;
"Repor dados de fábrica" - repõe todo o sistema e elimina completamente todos os dados armazenados;
Desative as aplicações que têm privilégios de administrador:
Se um aplicativo malicioso obtiver privilégios de administrador, ele poderá causar sérios danos ao sistema. Para manter o dispositivo o mais seguro possível, verifique sempre quais aplicativos têm esses privilégios e desative aqueles que não deveriam tê-los.
Vá para «Definições», desça até ver «Ecrã de bloqueio e segurança» e toque nessa opção.
Desça até ver «Outras definições de segurança», toque nessa opção e, em seguida, toque em «Aplicações de administração do dispositivo».
Identifique as aplicações que não devem ter privilégios de administrador, toque nelas e, em seguida, toque em «DESATIVAR».
Perguntas frequentes (FAQ)
O meu dispositivo Android está infetado com o malware Albiriox. Devo formatar o meu dispositivo de armazenamento para me livrar dele?
Provavelmente não, uma vez que a remoção de malware raramente requer medidas tão drásticas.
Quais são os maiores problemas que o malware Albiriox pode causar?
Os perigos representados por uma infeção dependem das capacidades do malware e dos objetivos dos atacantes. O Albiriox é um trojan de acesso remoto focado no roubo de dados financeiros. Geralmente, a presença desse tipo de software pode levar a graves problemas de privacidade, perdas financeiras e roubo de identidade.
Qual é o objetivo do malware Albiriox?
O lucro é, de longe, a motivação mais comum por trás dos ataques de malware, e as capacidades da Albiriox são voltadas para isso. Outras razões prevalentes incluem a busca de diversão ou vingança pessoal por parte dos atacantes, interrupção de processos (por exemplo, sites, serviços, empresas, etc.), hacktivismo e motivações políticas/geopolíticas.
Como é que o malware Albiriox se infiltrou no meu dispositivo Android?
O Albiriox foi disseminado através de páginas falsas do Google Play como um aplicativo de descontos para uma rede de supermercados legítima. É provável que existam outros métodos de distribuição.
O malware é principalmente disseminado através de downloads drive-by, fontes de download suspeitas (por exemplo, sites de freeware e hospedagem gratuita de ficheiros, redes de partilha P2P, lojas de aplicações de terceiros, etc.), golpes online, spam, malvertising, conteúdo pirata, ferramentas de ativação ilegal de software ("cracking") e atualizações falsas. Alguns programas maliciosos podem se auto-propagar através de redes locais e dispositivos de armazenamento removíveis.
O Combo Cleaner irá proteger-me contra malware?
O Combo Cleaner pode detetar e eliminar a maioria das infeções de malware conhecidas. Tenha em mente que é essencial executar uma verificação completa do sistema, uma vez que os programas maliciosos de ponta normalmente ficam ocultos nas profundezas dos sistemas.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários