Pesquisadores de segurança vêm identificando o uso de aplicativos dropper maliciosos, disfarçados como programas legítimos, em ataques móveis contra usuários no Uzbequistão.
Esses apps entregam um malware Android do tipo SMS stealer chamado Wonderland, que rouba mensagens e intercepta códigos de segurança OTP (one-time password).
Até então, as vítimas recebiam APKs trojan “puros”, que atuavam como malware assim que instalados.
Agora, os atacantes adotam droppers que parecem inofensivos e contém um payload malicioso oculto, ativado localmente após a instalação, mesmo sem conexão com a internet, conforme detalha análise da empresa de cibersegurança Group-IB, sediada em Singapura.
O malware Wonderland – anteriormente conhecido como WretchedCat – permite comunicação bidirecional de comando e controle (C2), executando comandos em tempo real.
Entre suas funções estão o envio de requisições USSD arbitrárias e o roubo de SMS.
Ele se disfarça como Google Play ou arquivos comuns, como vídeos, fotos e convites de casamento.
A operação é atribuída a um grupo com motivações financeiras chamado TrickyWonders, que usa o Telegram como plataforma principal para coordenar a campanha.
Descoberto em novembro de 2023, Wonderland está associado a duas famílias de droppers – MidnightDat e RoundRift – que visam esconder o payload principal por meio de criptografia.
A propagação ocorre por páginas falsas da Google Play Store, anúncios no Facebook, perfis falsos em apps de namoro e no próprio Telegram.
Os criminosos exploram sessões roubadas de usuários uzbeques, vendidas em mercados da dark web, para disseminar o malware aos contatos das vítimas.
Após instalado, o malware acessa mensagens SMS e intercepta códigos OTP, usados para desviar fundos dos cartões bancários das vítimas.
O código também coleta números de telefone e contatos, oculta notificações para driblar alertas de segurança e envia SMS para facilitar movimentações laterais.
Importante destacar que a instalação exige que o usuário ative a permissão para fontes desconhecidas, geralmente guiado por uma tela que o instrui a “instalar uma atualização para usar o app”.
Quando o APK é instalado com as permissões concedidas, os atacantes sequestram o número de telefone e tentam acessar a conta Telegram vinculada, propagando a infecção em cadeia, explica a Group-IB.
Essa nova variante representa um avanço na evolução do malware móvel no Uzbequistão.
Antes, predominavam ameaças simples, como o Ajina.Banker, propagado via spam em massa, e, posteriormente, variantes mais disfarçadas, como o Qwizzserial, que se escondia atrás de arquivos aparentemente inofensivos.
O uso de droppers é uma estratégia deliberada para evitar detecção, já que parecem benignos e utilizam técnicas de ofuscação e anti-análise, dificultando o trabalho de engenharia reversa e inteligência.
Além disso, a comunicação ativa entre o malware e o servidor C2 o torna um agente remoto capaz de executar comandos complexos, ampliando seu potencial ofensivo.
Os pesquisadores também destacam que a infraestrutura por trás do ataque é dinâmica e resiliente, com domínios alternados rapidamente para dificultar monitoramento e bloqueios.
Cada build malicioso gerado por um bot no Telegram possui domínios C2 únicos, dificultando derrubadas em larga escala.
A operação criminosa demonstra ser profissional e organizada, com divisão clara de funções entre donos do grupo, desenvolvedores, operadores (workers) e validadores de dados roubados (vbivers).
Essa hierarquia reforça a maturidade do esquema de fraude financeira.
Conforme alertado pela Group-IB, os métodos de comprometimento de dispositivos Android na região não só são mais sofisticados, como evoluem rapidamente, com adaptações contínuas nos mecanismos de distribuição, evasão e controle.
A divulgação deste caso coincide com o surgimento de novos malwares Android, como Cellik, Frogblight e NexusRoute, que também roubam informações sensíveis em diversos países.
Por exemplo, o Cellik, comercializado na dark web por valores que chegam a US$ 900 pela licença definitiva, possui recursos avançados, como streaming de tela, keylogging e acesso remoto à câmera e ao microfone.
Um recurso preocupante do Cellik é o construtor de APKs personalizado, que permite aos criminosos incorporar o payload malicioso dentro de apps legítimos do Google Play para facilitar a distribuição.
Já o Frogblight tem sido usado na Turquia por meio de campanhas de phishing via SMS, enganando vítimas com mensagens falsas sobre processos judiciais.
O malware coleta credenciais bancárias, SMS, registros de chamadas, lista de apps instalados e dados do sistema, além de enviar mensagens arbitrárias, e está em desenvolvimento para operar como malware-as-a-service (MaaS).
Numa tendência semelhante, a Índia tem sofrido ataques com o malware NexusRoute, que utiliza portais phishing simulando serviços do governo para distribuir APKs maliciosos via GitHub e coletar dados pessoais, bancários e até dados veiculares.
Ele também explora serviços de acessibilidade para ampliar o roubo de informações e dificulta a detecção ao solicitar ser definido como launcher padrão do sistema.
A empresa CYFIRMA observa que o uso crescente de marcações governamentais legítimas, fluxos financeiros e portais de serviços públicos tem sido ferramenta eficaz para aplicar ataques focados em fraudes financeiras e phishing, ampliando a percepção de legitimidade das ameaças.
A análise do endereço de e-mail embutido em um dos ataques NexusRoute sugere conexão com uma estrutura subterrânea maior e profissionalizada, indicando que essa campanha faz parte de uma operação de cibercrime móvel altamente complexa, que integra phishing, malware, fraudes financeiras e vigilância.
Esses casos refletem a rápida e sofisticada evolução das ameaças móveis, exigindo atenção constante de usuários e profissionais de segurança para mitigar riscos crescentes.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...