Исследователи Group-IB зафиксировали широкомасштабную киберкампанию, в рамках которой распространяется ранее неизвестная вредоносная программа Qwizzserial. По их данным, зловред уже заразил около 100 тыс. Android-устройств, основная часть которых находится на территории Узбекистана. Кампания оказалась частью более обширной схемы, связанной с распространением семейств вредоносного ПО Ajina.
Мошенники используют Telegram в качестве основного канала доставки. Злоумышленники создают каналы, выдающие себя за официальные структуры и публикующие поддельные сообщения якобы от имени государственных органов. Пользователям предлагаются фальшивые программы под названиями вроде «Президентская поддержка» или «Финансовая помощь». Вместо помощи они получают APK-файлы с внедрённым вредоносом.
По данным аналитиков, распространение осуществляется через Telegram-ботов, которые не только создают APK-файлы, но и управляют организацией всей преступной инфраструктуры. Боты контролируют внутренние каналы, координируют действия участников схемы, привлекают новых исполнителей и демонстрируют фальшивые показатели доходов, формируя «канал прибыли». Отдельная группа, участвующая в атаке, смогла заработать не менее 62 тыс. долларов в период с марта по июнь 2025 года.
Qwizzserial охотится за SMS-данными, на которые в Узбекистане опираются многие платёжные сервисы для аутентификации. После установки приложение требует доступ к функциям телефона и к чтению сообщений. Получив разрешения, зловред собирает:
- телефонные номера и данные банковских карт (включая срок действия);
- все SMS-сообщения, упакованные в архивы ZIP;
- сведения о приложениях узбекских банков;
- идентификаторы SIM-карты, в том числе MCC/MNC и имя оператора связи.
Отдельный интерес вредонос проявляет к сообщениям, содержащим сведения о банковских транзакциях на суммы свыше 500 тыс. сумов (около 38 долларов). Все собранные данные отправляются либо через Telegram-ботов, либо, в последних версиях, через прокси-серверы с использованием HTTP POST-запросов.
Оригинал публикации на сайте CISOCLUB: "Вредонос Qwizzserial атакует Android-устройства и охотится за SMS-данными пользователей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.