Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Операции за спојување на малициозен софтвер за Android, Droppers, кражба на SMS и можности за RAT на големо

Објавено: 22.12.2025

Забележано е дека сајбер-криминалци користат малициозни dropper-апликации кои се маскираат како легитимни апликации за да испорачаат Android SMS крадец наречен Wonderland, во мобилни напади насочени кон корисници во Узбекистан.

„Претходно, корисниците добиваа ‘чисти’ тројански APK-фајлови кои веднаш дејствуваа како малициозен софтвер по инсталацијата“, соопшти Group-IB во анализа објавена минатата недела. „Сега, напаѓачите сè почесто користат dropper-и маскирани како легитимни апликации. Dropper-от на прв поглед изгледа безопасно, но содржи вграден малициозен товар кој се активира локално по инсталацијата – дури и без активна интернет-врска.“

Wonderland (поранешно име WretchedCat), според сајбер-безбедносната компанија со седиште во Сингапур, овозможува двонасочна командно-контролна (C2) комуникација за извршување команди во реално време, вклучувајќи произволни USSD барања и кражба на SMS пораки. Се маскира како Google Play или како фајлови од други формати, како видеа, фотографии и свадбени покани.

Финансиски мотивираниот актер зад малициозниот софтвер, TrickyWonders, го користи Telegram како примарна платформа за координација на различни аспекти од операцијата. Првпат откриен во ноември 2023 година, тој се поврзува и со две семејства на dropper-малициозен софтвер дизајнирани да го сокријат примарниот шифриран товар:

  • MidnightDat (првпат забележан на 27 август 2025)
  • RoundRift (првпат забележан на 15 октомври 2025)

Wonderland главно се шири преку лажни веб-страници што имитираат Google Play Store, рекламни кампањи на Facebook, лажни профили на апликации за запознавање и апликации за размена на пораки како Telegram. Напаѓачите злоупотребуваат и украдени Telegram сесии на узбекистански корисници, кои се продаваат на dark web пазари, за да дистрибуираат APK-фајлови до контактите и разговорите на жртвите.

Откако малициозниот софтвер ќе се инсталира, тој добива пристап до SMS пораките и пресретнува еднократни лозинки (OTP), кои групата ги користи за извлекување средства од банкарските картички на жртвите. Други можности вклучуваат прибирање телефонски броеви, ексфилтрација на листи со контакти, сокривање push-нотификации за да се потиснат безбедносни или OTP известувања, па дури и испраќање SMS пораки од заразени уреди за латерално ширење.

Сепак, важно е да се напомене дека за side-loading на апликацијата, корисниците прво мора да овозможат поставка што дозволува инсталација од непознати извори. Ова се постигнува со прикажување екран за ажурирање кој ги инструктира да „го инсталираат ажурирањето за да ја користат апликацијата“.

„Кога жртвата ќе го инсталира APK-фајлот и ќе ги додели дозволите, напаѓачите го преземаат телефонскиот број и се обидуваат да се најават на Telegram сметката регистрирана со тој број“, соопшти Group-IB. „Ако најавата успее, процесот на дистрибуција се повторува, создавајќи цикличен синџир на инфекција.“

Wonderland ја претставува најновата еволуција на мобилниот малициозен софтвер во Узбекистан, кој се префрли од примитивни закани како Ajina.Banker, што се потпираа на масовни спам кампањи, кон пообфусцирани соеви како Qwizzserial, кои беа маскирани како навидум безопасни медиумски фајлови.

Употребата на dropper-апликации е стратешка, бидејќи тие изгледаат безопасно и успеваат да ги заобиколат безбедносните проверки. Дополнително, и dropper-компонентата и SMS крадецот се силно обфусцирани и вклучуваат техники за анти-анализа, што значително го отежнува и продолжува процесот на реверзно инженерство.

Понатаму, користењето на двонасочна C2 комуникација го трансформира малициозниот софтвер од пасивен SMS крадец во активен агент со далечинска контрола, способен да извршува произволни USSD барања испратени од серверот.

„Поддржувачката инфраструктура исто така стана подинамична и поотпорна“, изјавија истражувачите. „Операторите се потпираат на домени што брзо се менуваат, при што секој домен се користи само за ограничен број изданија пред да биде заменет. Овој пристап го отежнува мониторингот, ги нарушува одбраните базирани на црни листи и ја зголемува долговечноста на командно-контролните канали.“

Малициозните APK-изданија се генерираат со помош на наменски Telegram-бот, а потоа се дистрибуираат од категорија заканувачи наречени „workers“ (извршители), во замена за дел од украдените средства. Како дел од оваа операција, секое издание е поврзано со сопствени C2 домени, така што секој обид за гасење не ја урива целата нападна инфраструктура.

Криминалното претпријатие вклучува и сопственици на групи, програмери и „vbivers“, кои ги верификуваат украдените информации од платежни картички. Оваа хиерархиска структура одразува ново ниво на созревање на финансиската измамничка операција.

„Новиот бран развој на малициозен софтвер во регионот јасно покажува дека методите за компромитирање на Android уреди не стануваат само пософистицирани – тие еволуираат со многу брзо темпо“, соопшти Group-IB. „Напаѓачите активно ги приспособуваат своите алатки, имплементирајќи нови пристапи за дистрибуција, прикривање на активностите и одржување контрола врз заразените уреди.“

Објавата се совпаѓа со појавата на нов Android малициозен софтвер, како Cellik, Frogblight и NexusRoute, кои се способни да прибираат чувствителни информации од компромитирани уреди.

Cellik, кој се рекламира на dark web со почетна цена од 150 долари за еден месец или 900 долари за доживотна лиценца, е опремен со стриминг на екранот во реално време, keylogging (снимање на внесени тастери), далечински пристап до камерата и микрофонот, бришење податоци, скриено веб-прелистување, пресретнување нотификации и преклопувања на апликации за кражба на кориснички податоци (credentials).

Можеби најзагрижувачката карактеристика на тројанецот е APK билдeр со еден клик, кој им овозможува на клиентите да го спакуваат малициозниот товар во легитимни апликации од Google Play за понатамошна дистрибуција.

„Преку својата контролна интерфејс-табла, напаѓачот може да го пребарува целиот каталог на Google Play Store и да избере легитимни апликации во кои ќе го вгради Cellik товарот“, изјави Даниел Кели од iVerify. „Со еден клик, Cellik генерира нов малициозен APK кој го обвиткува RAT-от во избраната легитимна апликација.“

Frogblight, пак, е откриен како ги таргетира корисниците во Турција преку SMS фишинг пораки, кои ги мамат примателите да го инсталираат малициозниот софтвер под изговор дека треба да прегледаат судски документи поврзани со судски предмет во кој наводно се вклучени, соопшти Kaspersky.

Покрај кражбата на банкарски податоци преку WebView компоненти, малициозниот софтвер може да собира SMS пораки, евиденција на повици, листа на инсталирани апликации на уредот и информации од фајл-системот на уредот. Исто така, може да управува со контактите и да испраќа произволни SMS пораки.

Се верува дека Frogblight е во активен развој, при што заканувачот зад алатката ги поставува темелите таа да се дистрибуира според моделот malware-as-a-service (MaaS). Оваа проценка се базира на откривањето на веб-панел хостиран на C2 серверот и на фактот дека само примероци кои го користат истиот клуч како и најавата на веб-панелот можат далечински да се контролираат преку него.

Семејства на малициозен софтвер како Cellik и Frogblight се дел од растечки тренд на Android малициозен софтвер, каде што дури и напаѓачи со малку или без техничка експертиза сега можат да водат мобилни кампањи во голем обем со минимален напор.

Во последните недели, Android корисници во Индија исто така беа таргетирани од малициозен софтвер наречен NexusRoute, кој користи фишинг портали што се претставуваат како услуги на индиската влада за да ги пренасочат посетителите кон малициозни APK-фајлови хостирани на GitHub репозиториуми и GitHub Pages, додека истовремено собира лични и финансиски информации.

Лажните веб-страници се дизајнирани да заразат Android уреди со целосно обфусциран тројанец за далечински пристап (RAT), кој може да краде мобилни броеви, податоци за возила, UPI PIN-кодови, еднократни лозинки (OTP) и податоци од платежни картички, како и да прибира обемни податоци преку злоупотреба на accessibility services и со тоа што ги наведува корисниците да го постават како стандарден launcher за почетниот екран.

„Заканувачите сè почесто го злоупотребуваат брендирањето на државни институции, платежните процеси и порталите за услуги за граѓани за да распоредат финансиски мотивиран малициозен софтвер и фишинг напади под превез на легитимност“, соопшти CYFIRMA. „Малициозниот софтвер врши пресретнување на SMS пораки, профилирање на SIM-картички, кражба на контакти, собирање евиденција на повици, пристап до фајлови, снимање екрани, активирање на микрофон и GPS следење.“

Понатамошната анализа на вградена е-пошта „gymkhana.studio@gmail[.]com“ го поврза NexusRoute со поширок подземен екосистем за развој, отворајќи можност дека станува збор за дел од професионално одржувана, големораспространета инфраструктура за измама и надзор.

„Кампањата NexusRoute претставува високо зрела, професионално инженерска мобилна сајбер-криминална операција која комбинира фишинг, малициозен софтвер, финансиска измама и надзор во единствен нападен модел“, соопшти компанијата. „Употребата на обфускација на нативно ниво, динамички лоадери, автоматизирана инфраструктура и централизирана контрола за надзор ја поставува оваа кампања далеку над можностите на обичните измамнички актери.“

Извори:

  • The Hacker News – Android Malware Operations Merge Droppers, SMS Theft, and RAT Capabilities at Scale The Hacker News