Компания Group-IB сообщила о выявлении нового Android-зловреда Wonderland, нацеленного прежде всего на жителей Узбекистана. По информации аналитиков, это СМС-стилер, который незаметно устанавливается через заражённые дропперы, выдающие себя за легальные приложения.
Ранее киберпреступники чаще рассылали жертвам APK-файлы и получали доступ к устройству после явной установки. Сейчас используется иной сценарий: жертве предлагают установить обновление уже имеющейся программы, причём вредоносный компонент может инсталлироваться даже без подключения к интернету.
После установки Wonderland перехватывает одноразовые пароли и СМС-сообщения. Наличие двустороннего канала связи позволяет операторам выполнять команды в реальном времени и отправлять USSD-запросы напрямую с устройства жертвы. По данным Group-IB, зловред может скрываться внутри фотографий или маскироваться под сервисы Google Play.
Сразу после попадания на смартфон программа начинает перехватывать OTP-коды, что создаёт условия для хищения средств с банковских карт. Эксперты отмечают, что таким образом злоумышленники получают возможность обходить СМС-подтверждения операций.
Специалисты связывают кампанию по распространению Wonderland с группой TrickyWonders. Сообщается, что для координации атак она использует Telegram. Похищенные пользовательские сессии затем продаются на подпольных площадках дарквеба.
По оценке Group-IB, вокруг зловреда сформирована полноценная криминальная экосистема: выделяются владельцы инструмента, разработчики и партнёры-распространители. Отдельная команда отвечает за проверку украденных банковских данных и монетизацию полученной информации, сообщает actualnews.org.
Читайте также: