安卓恶意软件整合投放器、短信窃取与远程控制功能，实现规模化攻击

HackerNews 编译，转载请注明出处：

威胁行为者被观察到利用伪装成合法应用程序的恶意释放器应用，在针对乌兹别克斯坦用户的移动攻击中，投放一种名为 Wonderland 的安卓短信窃取程序。

"以前，用户会收到'纯粹的'木马APK文件，这些文件在安装后立即充当恶意软件，" Group-IB在上周发布的一份分析报告中表示。"现在，攻击者越来越多地部署伪装成合法应用程序的释放器。释放器表面看起来无害，但包含内置的恶意有效载荷，安装后会在本地部署——甚至无需主动的互联网连接。"

根据这家总部位于新加坡的网络安全公司的分析，Wonderland 促进了双向的命令与控制通信，以实时执行命令，从而允许发起任意的USSD请求和窃取短信。它伪装成Google Play或视频、照片、婚礼邀请等格式的其他文件。

该恶意软件背后以经济利益为动机的威胁组织 TrickyWonders，利用Telegram 作为主要平台来协调运营的各个方面。该组织于2023年11月首次被发现，还被归因于两个旨在隐藏主要加密有效载荷的释放器恶意软件家族：

• MidnightDat（首次发现于2025年8月27日）

• RoundRift（首次发现于2025年10月15日）

Wonderland主要通过伪造的Google Play商店网页、Facebook上的广告活动、约会应用上的虚假账户以及Telegram等即时通讯应用进行传播。攻击者滥用暗网市场上出售的乌兹别克用户的被盗Telegram会话，向受害者的联系人和聊天群分发APK文件。

一旦恶意软件安装，它就能访问短信并拦截一次性密码，该组织利用这些信息从受害者的银行卡中窃取资金。其他功能包括获取电话号码、窃取联系人列表、隐藏推送通知以压制安全警报或OTP提醒，甚至从受感染设备发送短信进行横向移动。

然而，值得指出的是，要侧载该应用，首先需要用户启用允许从未知来源安装的设置。这是通过显示一个"安装更新以使用应用"的更新屏幕指示来完成的。

"当受害者安装APK并提供权限后，攻击者会劫持电话号码，并尝试登录使用该电话号码注册的Telegram账户，" Group-IB说。"如果登录成功，分发过程会重复，形成一个循环感染链。"

Wonderland代表了乌兹别克斯坦移动恶意软件的最新演变，该地区已从依赖大规模垃圾邮件活动的Ajina.Banker等初级恶意软件，转变为伪装成看似良性媒体文件的Qwizzserial等更隐蔽的变种。

释放器应用的使用具有战略意义，因为它使它们看起来无害并能逃避安全检查。此外，释放器和短信窃取器组件都经过重度混淆，并采用了反分析技巧，使得逆向工程更具挑战性和耗时。

更重要的是，双向C2通信的使用将恶意软件从被动的短信窃取器转变为主动的远程控制代理，可以执行服务器发出的任意USSD请求。

"支撑性基础设施也变得更加动态和有弹性，"研究人员说。"运营者依赖快速变化的域名，每个域名在更换前只用于有限的几批构建。这种方法使监控复杂化，破坏基于黑名单的防御，并延长了命令与控制通道的寿命。"

恶意APK构建是通过一个专用的Telegram机器人生成的，然后由一类称为"工作者"的威胁行为者进行分发，以换取被盗资金的分成。作为这项工作的一部分，每个构建都有其关联的C2域名，因此任何取缔尝试都不会摧毁整个攻击基础设施。

这个犯罪企业还包括群组所有者、开发者和"vbiver"（验证被盗卡片信息的人）。这种等级结构反映了金融诈骗运营的新成熟阶段。

"该地区新一波的恶意软件开发清楚地表明，入侵安卓设备的方法不仅变得更加复杂——而且正在快速演变，" Group-IB说。"攻击者正在积极调整他们的工具，实施新的方法来改进分发、活动隐藏以及维持对受感染设备的控制。"

这一披露恰逢新安卓恶意软件的出现，例如 Cellik、Frogblight 和 NexusRoute，这些恶意软件能够从受感染的设备中收集敏感信息。

Cellik在暗网上以每月150美元起或终身许可900美元的价格做广告，具备实时屏幕流传输、键盘记录、远程摄像头/麦克风访问、数据擦除、隐藏网页浏览、通知拦截和应用叠加以窃取凭证等功能。

也许该木马最令人不安的功能是一个一键APK构建器，允许客户将恶意有效载荷捆绑在合法的Google Play应用中以便分发。

"通过其控制界面，攻击者可以浏览整个Google Play商店目录，并选择合法的应用程序与Cellik有效载荷捆绑，" iVerify的Daniel Kelley说。"只需点击一下，Cellik就会生成一个新的恶意APK，将RAT包装在所选的合法应用内部。"

另一方面，Frogblight 被发现通过短信钓鱼消息瞄准土耳其用户，这些消息诱骗收件人以查看据称与他们涉及的法庭案件相关的法庭文件为借口安装恶意软件，卡巴斯基表示。

除了使用WebView窃取银行凭证外，该恶意软件还能收集短信、通话记录、设备上已安装应用列表以及设备文件系统信息。它还可以管理联系人并发送任意短信。

据信Frogblight正处于积极开发中，该工具背后的威胁行为者正在为将其作为恶意软件即服务模式进行分发奠定基础。这一评估基于在C2服务器上发现的Web控制面板，以及只有使用与Web面板登录相同密钥的样本才能通过该面板进行远程控制这一事实。

像Cellik和Frogblight这样的恶意软件家族是安卓恶意软件日益增长趋势的一部分，即使是没有技术专长的攻击者，现在也可以轻松地大规模运行移动攻击活动。

最近几周，印度安卓用户也成为名为 NexusRoute 的恶意软件的目标，该软件使用冒充印度政府服务的钓鱼门户，将访问者重定向到托管在GitHub仓库和GitHub Pages上的恶意APK，同时收集他们的个人和财务信息。

这些虚假网站旨在感染安卓设备，安装一个完全混淆的远程访问木马，该木马可以窃取手机号码、车辆数据、UPI PIN、OTP和卡片详细信息，并通过滥用无障碍服务和提示用户将其设置为默认主屏幕启动器来收集大量数据。

"威胁行为者越来越多地将政府品牌、支付流程和公民服务门户武器化，在合法性的幌子下部署以经济利益驱动的恶意软件和网络钓鱼攻击，" CYFIRMA表示。"该恶意软件执行短信拦截、SIM卡信息收集、联系人窃取、通话记录收集、文件访问、屏幕截图捕捉、麦克风激活和GPS跟踪。"

对嵌入式电子邮件地址"gymkhana.studio@gmail[.]com"的进一步分析将NexusRoute与更广泛的地下开发生态系统联系起来，增加了其可能属于一个专业维护、大规模欺诈和监控基础设施的可能性。

"NexusRoute攻击活动代表了一个高度成熟、专业设计的移动网络犯罪运营，它将网络钓鱼、恶意软件、金融欺诈和监控结合到一个统一的攻击框架中，"该公司表示。"使用原生级混淆、动态加载器、自动化基础设施和集中式监控控制，使该活动的能力远超常见的诈骗行为者。"

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文