Аналитики компании Group-IB предупредили пользователей в Узбекистане о новом Android-зловреде под названием Wonderland. По их данным, это СМС-стилер, который распространяется через заражённые дропперы, маскирующиеся под официальные приложения.
Ранее злоумышленники рассылали APK-файлы и добивались установки вручную, после чего получали доступ к устройству. Сейчас, как отмечают специалисты, используется другой подход: применяются внешне безобидные программы с «вшитой» вредоносной нагрузкой. При этом компонент malware может устанавливаться даже при отсутствии интернет-соединения.
Пользователь, согласно описанию Group-IB, видит на экране лишь запрос на обновление уже установленного приложения. После этого Wonderland получает возможность перехватывать одноразовые пароли и СМС-сообщения. Благодаря двустороннему каналу связи операторы зловреда в режиме реального времени отдают команды, в том числе отправляют USSD-запросы.
Отмечается, что вредоносный код может скрываться в изображениях либо маскироваться под сервисы Google Play. Сразу после установки зловред начинает перехватывать OTP-коды, что позволяет злоумышленникам похищать деньги с банковских карт жертв.
По оценке Group-IB, за распространением Wonderland, вероятнее всего, стоит группа TrickyWonders, которая координирует атаки через мессенджер Telegram. Украденные пользовательские сессии затем выставляются на продажу на площадках дарквеба.
Эксперты подчёркивают, что схема распространения Wonderland напоминает отлаженный криминальный бизнес с разделением ролей: есть владельцы инструмента, разработчики и распространители. Отдельная группа занимается проверкой полученных банковских данных и последующим выводом средств, сообщает actualnews.org.
Читайте также: