В Узбекистане выявили Android-зловред Wonderland с тихой установкой

В Узбекистане выявили Android-зловред Wonderland с тихой установкой

В Узбекистане выявили Android-зловред Wonderland с тихой установкой

В Узбекистане набирает обороты новая волна мобильного мошенничества — на этот раз с более хитрым и «тихим» Android-зловредом. Аналитики Group-IB сообщили об атаках с использованием СМС-стилера Wonderland, который распространяется не напрямую, а через вредоносные дропперы, замаскированные под вполне легитимные приложения.

Если раньше пользователям рассылали откровенно подозрительные APK-файлы, которые сразу начинали вредить после установки, то теперь подход изменился.

Как отмечают исследователи, злоумышленники всё чаще используют дропперы — внешне безобидные приложения, внутри которых спрятана зашифрованная нагрузка.

Причём вредоносный компонент может устанавливаться локально, даже без подключения к интернету. Пользователю при этом показывают экран с просьбой «установить обновление, чтобы продолжить работу приложения» — и этого обычно хватает, чтобы он сам включил установку из неизвестных источников.

Wonderland (ранее известный как WretchedCat) — это Android-зловред, ориентированный на кражу СМС и одноразовых паролей. Он поддерживает двустороннюю связь с управляющим сервером, что позволяет операторам выполнять команды в реальном времени, в том числе отправлять USSD-запросы.

 

Зловред маскируется под Google Play или под «безобидные» файлы — видео, фотографии и даже приглашения на свадьбу. После установки он получает доступ к СМС, перехватывает OTP-коды и используется для хищения денег с банковских карт.

Дополнительно Wonderland умеет:

  • собирать список контактов;
  • скрывать пуш-уведомления, включая банковские и защитные;
  • отправлять СМС с заражённого устройства для дальнейшего распространения;
  • извлекать номер телефона и другую служебную информацию.

По данным Group-IB, за кампанией стоит финансово мотивированная группа TrickyWonders, которая активно использует Telegram для координации атак. Более того, злоумышленники применяют украденные Telegram-сессии пользователей из Узбекистана, которые покупаются на площадках дарквеба, — через них APK-файлы рассылаются контактам жертв и в чаты.

Если после заражения атакующим удаётся перехватить доступ к Telegram-аккаунту жертвы, цепочка заражений запускается заново — уже от её имени.

 

Wonderland связан сразу с двумя семействами дропперов:

  • MidnightDat (зафиксирован с 27 августа 2025 года),
  • RoundRift (с 15 октября 2025 года).

Сборка вредоносных APK автоматизирована: для этого используется специальный Telegram-бот, который генерирует уникальные версии приложения. Распространяют их так называемые «воркеры» — за процент от украденных средств. У каждой сборки — свои C2-домены, что делает инфраструктуру более живучей и усложняет блокировки.

 

По словам аналитиков, сама схема всё больше напоминает зрелый криминальный бизнес с разделением ролей: владельцы, разработчики, распространители и участники, проверяющие украденные банковские данные.

Эксперты подчёркивают, что Wonderland — лишь часть более широкой тенденции. В последние недели специалисты также зафиксировали появление других Android-зловредов:

  • Cellik — продаётся на даркнете и предлагает функции удалённого доступа, стриминг экрана, кейлоггер и даже «конструктор APK», позволяющий в один клик встраивать зловред в легитимные приложения из Google Play;
  • Frogblight — распространяется через СМС-фишинг под видом судебных уведомлений и активно дорабатывается под модель «вредонос как услуга»;
  • NexusRoute — атакует пользователей в Индии через фишинговые сайты, мимикрирующие под государственные сервисы, и сочетает кражу данных с функциями полноценного шпионского инструмента.

Как отмечают исследователи, злоумышленники всё активнее используют доверие к официальным сервисам, платёжным сценариям и популярным приложениям.

Методы компрометации Android-устройств становятся не просто сложнее — они эволюционируют с пугающей скоростью, подчёркивают в Group-IB.

И судя по всему, эпоха «простых» мобильных троянов окончательно уходит в прошлое.

Мошенники начали звонить от имени соседей и звать в чат про бомбоубежище

Мошенники снова поймали тревожную тему и собрали из неё новую схему. Теперь они звонят людям якобы от имени соседей и сообщают о срочном собрании жильцов по поводу оборудования бомбоубежища в доме.

Об этом пишет телеграм-канал «Лапша Медиа» совместно с авторским каналом Александра Ельшевского «Без обмана».

Звонящий представляется соседом, говорит о важном собрании жильцов и предлагает добавить человека в общий чат. Дальше начинается классика: вместо обсуждения реального вопроса мошенник быстро переходит к личным данным, просит назвать имя, телефон или другую информацию.

Также жертву убеждают, что без вступления в чат и попадания в списки на собрание якобы не получится.

Главный подвох в том, что жильцы дома не могут просто голосованием решить вопрос о создании бомбоубежища. Такие объекты создаются по государственным требованиям и нормам безопасности.

Поэтому срочное соседское собрание, на которое почему-то нельзя попасть без передачи данных незнакомцу по телефону, уже само по себе пахнет не инициативой жильцов, а разводом.

Если человек продолжит разговор, дальше может начаться второй этап схемы. Позже ему могут позвонить уже якобы сотрудники госорганов и заявить, что его данные попали к мошенникам. После этого жертву начнут подталкивать к переводам денег или другим действиям.

Распознать схему несложно: собеседник избегает личной встречи, настаивает на телефонном разговоре, быстро уводит тему к вашим данным и требует вступить в неизвестный чат. В таком случае лучший ответ — закончить разговор.

Личные данные незнакомцам по телефону сообщать не стоит. Если звонящий правда сосед, вопрос можно обсудить лично.

RSS: Новости на портале Anti-Malware.ru