Найти в Дзене
Ded_Theburnet
877 подписчиков

"Android-смс-шпион: новая угроза для пользователей в Узбекистане"

4
3 мин
Новая вредоносная кампания для Android: SMS-шпион Qwizzserial заразил почти 100 000 устройств в Узбекистане Нововеденная вредоносная программа для Android, известная как Qwizzserial, была обнаружена исследователями Group-IB в рамках более крупного расследования киберпреступности, связанной с семейством вредоносных программ Ajina. Это вредоносное ПО заразило почти 100 000 устройств, в основном в Узбекистане. Распространение через Telegram и знакомая структура Qwizzserial распространяется через Telegram, где злоумышленники маскируются под государственные учреждения, предлагая финансовую помощь. Они используют такие названия, как «Президентская поддержка» или «Финансовая помощь», чтобы обманом заставить пользователей загружать APK-файлы, содержащие вредоносное ПО. Телеграм-каналы часто публикуют фейковые правительственные указы для получения доверия. Кампания напоминает модель мошенничества Classiscam, но вместо фишинговых ссылок использует ботов Telegram для генерации APK-стиллеров. Эти

Новая вредоносная кампания для Android: SMS-шпион Qwizzserial заразил почти 100 000 устройств в Узбекистане

Нововеденная вредоносная программа для Android, известная как Qwizzserial, была обнаружена исследователями Group-IB в рамках более крупного расследования киберпреступности, связанной с семейством вредоносных программ Ajina. Это вредоносное ПО заразило почти 100 000 устройств, в основном в Узбекистане.

Распространение через Telegram и знакомая структура

Qwizzserial распространяется через Telegram, где злоумышленники маскируются под государственные учреждения, предлагая финансовую помощь. Они используют такие названия, как «Президентская поддержка» или «Финансовая помощь», чтобы обманом заставить пользователей загружать APK-файлы, содержащие вредоносное ПО. Телеграм-каналы часто публикуют фейковые правительственные указы для получения доверия.

Кампания напоминает модель мошенничества Classiscam, но вместо фишинговых ссылок использует ботов Telegram для генерации APK-стиллеров. Эти боты также управляют каналами координации команды и помогают адаптировать новых участников, демонстрируя доходы. Одна из групп, стоящих за этой схемой, заработала не менее 62 000 долларов с марта по июнь 2025 года.

-2
rutube.ru
"Samsung исправляет критическую уязвимость в MagicInfo 9"

Возможности и эволюция Qwizzserial

Qwizzserial направлен на аутентификацию на основе SMS, которая широко используется в узбекских платежных системах. После установки приложение запрашивает доступ к состоянию телефона и разрешениям SMS, а затем собирает конфиденциальные данные, такие как:

  • Номера телефонов и данные банковских карт
  • Входящие, отправленные и другие SMS-сообщения, заархивированные в виде ZIP-файлов
  • Информация об установленных узбекских банковских приложениях
  • Данные SIM-карты, включая коды MCC/MNC и название оператора

Вредоносная программа также сканирует сообщения на предмет банковских условий и крупных сумм свыше 500 000 UZS (около $38). Эксфильтрация данных происходит через ботов Telegram или, в новых версиях, через шлюзовой сервер с использованием HTTP POST-запросов.

Последние версии демонстрируют дополнительную настойчивость, например, запросы на отключение оптимизации батареи. Они больше не запрашивают данные банковской карты напрямую, а полагаются на скомпрометированные учетные данные для доступа к банковским приложениям.

Растущая угроза

Согласно Group-IB, влияние Qwizzserial усиливается из-за зависимости Узбекистана от SMS как единственного уровня аутентификации в цифровых платежах. Отсутствие более надежной защиты, такой как биометрия или 3D Secure, позволяет злоумышленникам эффективно эксплуатировать эту уязвимость.

«Эта кампания показывает, как развиваются операции в стиле Classiscam», — заявили в компании. «Злоумышленники постоянно корректируют свою тактику, чтобы идти в ногу с изменениями в привычках пользователей, мерах безопасности и политиках платформы. Вместо использования фишинговых ссылок они теперь распространяют вредоносные APK-файлы через Telegram, что делает процесс более эффективным, более сложным для отслеживания и более легким для присоединения новых киберпреступников».

Чтобы снизить риск, Group-IB советует пользователям избегать установки приложений из неофициальных источников и внимательно проверять разрешения приложений. Компаниям рекомендуется отслеживать сеансы пользователей, запускать кампании по повышению осведомленности и внедрять системы обнаружения на основе поведения.

rutube.ru
"Полиморфные фишинговые атаки: новая угроза в вашем почтовом ящике"

Дополнительная информация:

Coinbase пострадала от утечки данных, подверглась вымогательству (но не заплатила)

"Почему Kubernetes стал неотъемлемой частью современных IT-решений"

Samsung исправляет уязвимость сервера MagicInfo 9, которой воспользовались злоумышленники

Фальшивые атаки: почему они опаснее, чем кажутся

Как работают более 300 000 жёстких дисков в реальных условиях

Мета-теги: Android, SMS-шпион, Qwizzserial, кибербезопасность, Узбекистан, Group-IB, Telegram, мошенничество, APK, финансовая помощь, киберпреступность, цифровые платежи, аутентификация, биометрия, 3D Secure, вредоносное ПО, Classiscam, APK-стиллеры, боты Telegram, киберзащита, эксфильтрация данных, оптимизация батареи, банковские приложения, SIM-карта, MCC/MNC, уязвимость, кибератаки.