En un ataque móvil dirigido a usuarios de Uzbekistán, se observó que los atacantes aprovechaban una aplicación de cuentagotas maliciosa disfrazada de aplicación legítima para entregar un ladrón de SMS de Android llamado Wonderland.
«Hasta ahora, los usuarios recibían APK troyanos ‘puros’ que funcionaban como malware tan pronto como se instalaban», dijo Group-IB en un análisis publicado la semana pasada. «Los atacantes ahora implementan cada vez más droppers disfrazados de aplicaciones legítimas. Los droppers parecen benignos en la superficie, pero contienen una carga maliciosa y se implementan localmente después de la instalación, incluso sin una conexión activa a Internet».
Según la firma de ciberseguridad con sede en Singapur, Wonderland (anteriormente conocida como WretchedCat) facilita comunicaciones bidireccionales de comando y control (C2) para la ejecución de comandos en tiempo real, lo que permite el robo de solicitudes USSD y SMS arbitrarios. Pretende ser un archivo de Google Play u otros formatos como vídeos, fotografías, invitaciones de boda, etc.
TrickyWonders, el atacante con motivación financiera detrás del malware, utiliza Telegram como su plataforma principal para coordinar varios aspectos de sus operaciones. Se descubrió por primera vez en noviembre de 2023 y también se cree que se debe a dos familias de malware dropper diseñadas para ocultar la carga útil cifrada principal.
MidnightDat (visto por primera vez el 27 de agosto de 2025) RoundRift (visto por primera vez el 15 de octubre de 2025)
Wonderland se propaga principalmente mediante páginas web falsas de Google Play Store, campañas publicitarias de Facebook, cuentas falsas en aplicaciones de citas y aplicaciones de mensajería como Telegram, donde los atacantes explotan sesiones robadas de Telegram de usuarios uzbekos vendidas en mercados de la web oscura para distribuir archivos APK a los contactos y chats de las víctimas.
Una vez instalado, el malware accede a los mensajes SMS e intercepta contraseñas de un solo uso (OTP), que el grupo utiliza para desviar fondos de las tarjetas bancarias de las víctimas. Otras características incluyen la capacidad de recuperar números de teléfono, extraer listas de contactos, ocultar notificaciones automáticas para suprimir alertas de seguridad o contraseñas de un solo uso (OTP), e incluso enviar mensajes SMS desde dispositivos infectados para movimiento lateral.
Sin embargo, vale la pena señalar que para descargar una aplicación, los usuarios primero deben habilitar una configuración que permita la instalación desde fuentes desconocidas. Esto se logra mostrando una pantalla de actualización que le indica que «instale actualizaciones para usar la aplicación».
«Una vez que la víctima instala el APK y otorga permisos, el atacante toma el número de teléfono e intenta iniciar sesión en la cuenta de Telegram registrada con ese número de teléfono», dijo Group-IB. «Una vez que el inicio de sesión es exitoso, el proceso de distribución se repite, formando una cadena de infección periódica».
Wonderland representa la última evolución en malware móvil en Uzbekistán, pasando de malware rudimentario como Ajina.Banker, que dependía de campañas de spam a gran escala, a malware más ofuscado como Qwizzserial, que fue descubierto disfrazado de un archivo multimedia aparentemente inocuo.
El uso de aplicaciones con cuentagotas es estratégico porque las hace parecer inofensivas y evade los controles de seguridad. Además, tanto el componente cuentagotas como el ladrón de SMS están muy ofuscados e incorporan trucos antianálisis que hacen que la ingeniería inversa sea más difícil y requiera más tiempo.
Además, el uso de comunicación C2 bidireccional transforma el malware de un ladrón de SMS pasivo a un agente de control remoto activo que puede ejecutar cualquier solicitud USSD emitida por el servidor.
«La infraestructura de apoyo también se volvió más dinámica y resistente», dijeron los investigadores. «Los operadores dependen de dominios que cambian rápidamente, y cada dominio se utiliza sólo para un conjunto limitado de compilaciones antes de ser reemplazado. Este enfoque complica el monitoreo, confunde las defensas basadas en listas negras y aumenta la longevidad de los canales de comando y control».
Las compilaciones de APK maliciosas se generan utilizando bots de Telegram dedicados y son distribuidas por una categoría de actores de amenazas llamados trabajadores a cambio de una parte de los fondos robados. Como parte de este esfuerzo, cada compilación está asociada con su propio dominio C2, por lo que los intentos de eliminación no derriban toda la infraestructura de ataque.
La organización criminal también incluye propietarios de grupos, desarrolladores y vbivers que verifican la información de las tarjetas robadas. Esta jerarquía refleja la nueva madurez del fraude financiero.
«La nueva ola de desarrollo de malware en la región muestra claramente que los métodos para comprometer los dispositivos Android no sólo se están volviendo más sofisticados, sino que también están evolucionando rápidamente», dijo Group-IB. Los atacantes están adaptando activamente sus herramientas e implementando nuevos enfoques de distribución, ocultando sus actividades y manteniendo el control sobre los dispositivos infectados. «
Esta divulgación coincide con la aparición de nuevo malware para Android que puede recopilar información confidencial de dispositivos comprometidos, incluidos Cellik, Frogblight y NexusRoute.
Cellik se anuncia en la web oscura por $150 por una licencia de un mes o $900 por una licencia de por vida, y presenta transmisión de pantalla en tiempo real, registro de teclas, acceso remoto a cámara/micrófono, borrado de datos, navegación web oculta, interceptación de notificaciones y una superposición de aplicaciones para el robo de credenciales.
Quizás la característica más preocupante del troyano es su creador de APK con un solo clic, que permite a los clientes agrupar y distribuir cargas útiles maliciosas con aplicaciones legítimas de Google Play.
«A través de su interfaz de control, un atacante puede explorar todo el catálogo de Google Play Store y seleccionar aplicaciones legítimas para incluirlas en la carga útil de Cellik», dijo Daniel Kelly de iVerify. «Con un clic, Cellik genera un nuevo APK malicioso que envuelve el RAT dentro de la aplicación legítima de su elección».
Mientras tanto, se descubrió que Frogblight apuntaba a usuarios en Turquía a través de mensajes SMS de phishing, engañando a los destinatarios para que instalaran malware con el pretexto de ver documentos judiciales relacionados con un caso judicial en el que el destinatario supuestamente estaba involucrado, dijo Kaspersky.
Además de robar credenciales bancarias mediante WebView, el malware también puede recopilar mensajes SMS, registros de llamadas, una lista de aplicaciones instaladas en el dispositivo e información del sistema de archivos del dispositivo. También puedes administrar tus contactos y enviar cualquier mensaje SMS.
Se cree que Frogblight está en desarrollo activo y los atacantes detrás de la herramienta están sentando las bases para que se distribuya bajo el modelo Malware-as-a-Service (MaaS). Esta evaluación se basa en el descubrimiento de un panel web alojado en un servidor C2 y en el hecho de que sólo las muestras que utilizan la misma clave que el inicio de sesión del panel web pueden controlarse remotamente a través de él.
Las familias de malware como Cellik y Frogblight son parte de una tendencia creciente en el malware para Android, que permite a atacantes con poca o ninguna experiencia técnica ejecutar campañas móviles a gran escala con un mínimo esfuerzo.
En las últimas semanas, los usuarios de Android en India también han sido atacados por un malware llamado NexusRoute. El malware utiliza un portal de phishing que se hace pasar por un servicio del gobierno indio para redirigir a los visitantes a APK maliciosos alojados en repositorios y páginas de GitHub, mientras recopila información personal y financiera.
El sitio falso está diseñado para infectar dispositivos Android con un troyano de acceso remoto (RAT) totalmente ofuscado que puede robar números móviles, datos de vehículos, PIN de UPI, OTP, detalles de tarjetas y recopilar una gran cantidad de datos abusando de los servicios de accesibilidad y solicitando a los usuarios que lo configuren como su iniciador de pantalla de inicio predeterminado.
«Los actores de amenazas están utilizando cada vez más la marca gubernamental, los flujos de trabajo de pago y los portales de servicio al ciudadano para implementar malware y ataques de phishing con motivación financiera bajo el pretexto de la legitimidad», dijo CYFIRMA. «El malware realiza interceptación de SMS, creación de perfiles de SIM, robo de contactos, recopilación de registros de llamadas, acceso a archivos, captura de pantalla, activación de micrófono y seguimiento por GPS».
Un análisis más detallado de la dirección de correo electrónico incorporada “gymkhana.studio@gmail(.)com” plantea la posibilidad de que NexusRoute esté vinculado a un ecosistema de desarrollo clandestino más amplio y sea parte de una infraestructura de vigilancia y fraude mantenida profesionalmente.
«La campaña NexusRoute representa una operación de cibercrimen móvil altamente madura y diseñada profesionalmente que incorpora phishing, malware, fraude financiero y vigilancia en un marco de ataque integrado», dijo la compañía. «El uso de niveles nativos de ofuscación, cargadores dinámicos, infraestructura automatizada y controles de monitoreo centralizados coloca esta campaña mucho más allá de las capacidades de los estafadores típicos».
Source link
