Recentemente, operações de malware direcionadas a dispositivos Android têm se tornado mais sofisticadas, combinando aplicativos dropper com capacidades de roubo de SMS e controle remoto. Esses ataques, observados principalmente no Uzbequistão, utilizam aplicativos maliciosos que se disfarçam de legítimos para distribuir o malware conhecido como Wonderland.
Anteriormente, os usuários eram alvos de APKs trojan que atuavam imediatamente após a instalação. No entanto, agora, os atacantes estão utilizando droppers que parecem inofensivos, mas contêm cargas maliciosas que são ativadas localmente. O Wonderland, anteriormente chamado WretchedCat, permite comunicação bidirecional de comando e controle (C2), facilitando o roubo de SMS e a execução de comandos arbitrários.
O grupo por trás do malware, conhecido como TrickyWonders, utiliza o Telegram para coordenar suas operações. O malware é distribuído por meio de páginas falsas do Google Play, campanhas publicitárias no Facebook e contas falsas em aplicativos de namoro e mensagens. Além disso, sessões roubadas do Telegram de usuários uzbeques são vendidas em mercados da dark web para disseminar arquivos APK para contatos das vítimas.
Uma vez instalado, o malware acessa mensagens SMS e intercepta senhas de uso único (OTPs), permitindo que os atacantes roubem fundos de cartões bancários das vítimas. Outras capacidades incluem a extração de listas de contatos, ocultação de notificações de segurança e envio de SMS a partir de dispositivos infectados. Para instalar o aplicativo, os usuários precisam ativar a instalação de fontes desconhecidas, muitas vezes induzidos por uma tela de atualização falsa.
Os operadores do malware utilizam domínios que mudam rapidamente, dificultando o monitoramento e aumentando a longevidade dos canais de comando e controle. A infraestrutura maliciosa é gerada por um bot no Telegram, e cada build está associado a seus próprios domínios C2, garantindo que a derrubada de um domínio não comprometa toda a operação.
Além do Wonderland, novos malwares como Cellik, Frogblight e NexusRoute estão surgindo, cada um com suas próprias táticas de roubo de informações. O Cellik, por exemplo, é vendido na dark web e oferece recursos como streaming de tela em tempo real e acesso remoto à câmera e ao microfone. Já o Frogblight, em desenvolvimento ativo, visa usuários na Turquia por meio de mensagens de phishing SMS.
Fonte:https://thehackernews.com/2025/12/android-malware-operations-merge.html
