Se ha observado que los actores de amenazas aprovechan aplicaciones de dropper maliciosas que se hacen pasar por aplicaciones legítimas para ofrecer un ladrón de SMS de Android denominado País de las Maravillas en ataques móviles dirigidos a usuarios en Uzbekistán.
«Anteriormente, los usuarios recibían APK troyanos 'puros' que actuaban como malware inmediatamente después de la instalación», Group-IB dijo en un análisis publicado la semana pasada. «Ahora, los adversarios utilizan cada vez más cuentagotas disfrazados de aplicaciones legítimas. A primera vista, el cuentagotas parece inofensivo, pero contiene una carga maliciosa integrada que se implementa localmente tras la instalación, incluso sin una conexión a Internet activa».
Wonderland (anteriormente WretchedCat), según la empresa de ciberseguridad con sede en Singapur, facilita la comunicación bidireccional de comando y control (C2) para ejecutar comandos en tiempo real, lo que permite solicitudes arbitrarias de USSD y robos de SMS. Se hace pasar por Google Play o por archivos de otros formatos, como vídeos, fotos e invitaciones de boda.
El actor de amenazas con motivaciones financieras detrás del malware, TrickyWonders, aprovecha Telegram como la plataforma principal para coordinar varios aspectos de la operación. Descubierto por primera vez en noviembre de 2023, también se atribuye a dos familias de malware tipo cuentagotas diseñadas para ocultar la carga principal cifrada:
- MidnightDat (Visto por primera vez el 27 de agosto de 2025)
- RounDrift (Visto por primera vez el 15 de octubre de 2025)
Wonderland se propaga principalmente a través de páginas web falsas de Google Play Store, campañas publicitarias en Facebook, cuentas falsas en aplicaciones de citas y aplicaciones de mensajería como Telegram, y los atacantes abusan de las sesiones robadas de Telegram de usuarios uzbekos vendidas en los mercados de la web oscura para distribuir archivos APK a los contactos y chats de las víctimas.
Una vez instalado, el malware obtiene acceso a los mensajes SMS e intercepta contraseñas de un solo uso (OTP), que el grupo utiliza para desviar fondos de las tarjetas bancarias de las víctimas. Otras funciones incluyen recuperar números de teléfono, filtrar listas de contactos, ocultar las notificaciones automáticas para suprimir las alertas de seguridad o de contraseñas de un solo uso (OTP) e incluso enviar mensajes SMS desde dispositivos infectados para moverlos lateralmente.
Sin embargo, vale la pena señalar que la descarga lateral de la aplicación primero requiere que los usuarios habiliten una configuración que permita la instalación desde fuentes desconocidas. Esto se logra mostrando una pantalla de actualización en la que se les indica que «instalen la actualización para usar la aplicación».
«Cuando una víctima instala el APK y proporciona los permisos, los atacantes secuestran el número de teléfono e intentan iniciar sesión en la cuenta de Telegram registrada con ese número de teléfono», dijo Group-IB. «Si el inicio de sesión se realiza correctamente, el proceso de distribución se repite, creando una cadena de infección cíclica».
Wonderland representa la última evolución del malware móvil en Uzbekistán, que ha dejado de ser un malware rudimentario como Ajina.Banker que se basaban en campañas de spam a gran escala para crear variedades más confusas, como Serie Qwizz que se encontraron disfrazados de archivos multimedia aparentemente benignos.
El uso de aplicaciones cuentagotas es estratégico, ya que hace que parezcan inofensivas y evadan los controles de seguridad. Además, tanto el componente de dropper como el de robo de SMS están muy confusos e incorporan trucos antianálisis, lo que hace que sea mucho más difícil y lento realizar ingeniería inversa.
Además, el uso de la comunicación bidireccional C2 transforma el malware de un ladrón de SMS pasivo a un agente activo controlado a distancia que puede ejecutar solicitudes de USSD arbitrarias emitidas por el servidor.
«La infraestructura de apoyo también se ha vuelto más dinámica y resiliente», dijeron los investigadores. «Los operadores confían en dominios que cambian rápidamente, cada uno de los cuales se usa solo para un conjunto limitado de compilaciones antes de ser reemplazados. Este enfoque complica la supervisión, interrumpe las defensas basadas en listas negras y aumenta la duración de los canales de mando y control».
Las compilaciones maliciosas de APK se generan utilizando un bot de Telegram dedicado, que luego es distribuido por una categoría de actores de amenazas llamados trabajadores a cambio de una parte de los fondos robados. Como parte de este esfuerzo, cada compilación se asocia a sus propios dominios C2 para que cualquier intento de eliminación no acabe con toda la infraestructura de ataque.
La empresa delictiva también incluye a propietarios de grupos, desarrolladores y vbivers, que validan la información de tarjetas robadas. Esta estructura jerárquica refleja una nueva maduración de la operación de fraude financiero.
«La nueva ola de desarrollo de malware en la región demuestra claramente que los métodos para comprometer los dispositivos Android no solo son cada vez más sofisticados, sino que evolucionan a un ritmo rápido», dijo Group-IB. Los atacantes están adaptando activamente sus herramientas, implementando nuevos enfoques de distribución, ocultación de la actividad y manteniendo el control sobre los dispositivos infectados».
La revelación coincide con la aparición de nuevos programas maliciosos para Android, como Cellik , Luz de rana , y Ruta Nexus , que son capaces de recopilar información confidencial de dispositivos comprometidos.
Cellik, que se anuncia en la web oscura por un precio inicial de 150 dólares por un mes o 900 dólares por una licencia de por vida, está equipado con streaming de pantalla en tiempo real, registro de teclas, acceso remoto a la cámara y el micrófono, borrado de datos, navegación web oculta, interceptación de notificaciones y superposiciones de aplicaciones para robar credenciales.
Quizás la característica más preocupante del troyano sea un generador de APK con un solo clic que permite a los clientes agrupar la carga maliciosa en aplicaciones legítimas de Google Play para su distribución.
«A través de su interfaz de control, un atacante puede navegar por todo el catálogo de Google Play Store y seleccionar aplicaciones legítimas para incluirlas en la carga útil de Cellik», afirma Daniel Kelley, de iVerify. «Con un solo clic, Cellik generará un nuevo APK malicioso que envolverá el RAT dentro de la aplicación legítima elegida».
Por otro lado, se ha descubierto que Frogblight ataca a los usuarios de Turquía a través de mensajes SMS de suplantación de identidad que engañan a los destinatarios para que instalen el malware con el pretexto de ver documentos judiciales relacionados con un caso judicial en el que supuestamente están involucrados, según Kaspersky.
Además de robar credenciales bancarias mediante WebViews, el malware puede recopilar mensajes SMS, registros de llamadas, una lista de aplicaciones instaladas en el dispositivo e información del sistema de archivos del dispositivo. También puede gestionar contactos y enviar mensajes SMS arbitrarios.
Se cree que Frogblight se encuentra en desarrollo activo, y que el actor de amenazas detrás de la herramienta está sentando las bases para que se distribuya bajo un modelo de malware como servicio (MaaS). Esta evaluación se basa en el descubrimiento de un panel web alojado en el servidor C2 y en el hecho de que solo las muestras que utilizan la misma clave de inicio de sesión del panel web pueden controlarse de forma remota a través de él.
Las familias de malware como Cellik y Frogblight forman parte de una tendencia creciente de malware para Android, en la que incluso los atacantes con poca o ninguna experiencia técnica ahora pueden ejecutar campañas móviles a gran escala con un mínimo esfuerzo.
En las últimas semanas, los usuarios de Android en la India también han sido blanco de un malware denominado NexusRoute que emplea portales de suplantación de identidad que se hacen pasar por los servicios del gobierno indio para redirigir a los visitantes a APK maliciosos alojados en repositorios y páginas de GitHub, al tiempo que recopilan su información personal y financiera.
Los sitios falsos están diseñados para infectar los dispositivos Android con un troyano de acceso remoto (RAT) totalmente ofuscado que puede robar números de teléfono móvil, datos de vehículos, PIN de UPI, OTP y detalles de tarjetas, así como recopilar una gran cantidad de datos abusando de los servicios de accesibilidad y solicitando a los usuarios que los configuren como el lanzador de pantalla de inicio predeterminado.
«Los actores de amenazas utilizan cada vez más las marcas gubernamentales, los flujos de trabajo de pago y los portales de servicio al ciudadano para lanzar ataques de malware y suplantación de identidad impulsados por motivos financieros con el pretexto de la legitimidad», afirma CYFIRMA. «El malware intercepta SMS, elabora perfiles de tarjetas SIM, roba contactos, recopila registros de llamadas, accede a archivos, captura capturas de pantalla, activa micrófonos y rastrea por GPS».
Un análisis más detallado de una dirección de correo electrónico integrada «gymkhana.studio @gmail [.] com» ha vinculado NexusRoute con un ecosistema de desarrollo clandestino más amplio, lo que aumenta la posibilidad de que forme parte de una infraestructura de vigilancia y fraude a gran escala y mantenida profesionalmente.
«La campaña NexusRoute representa una operación de ciberdelincuencia móvil muy madura y diseñada profesionalmente que combina la suplantación de identidad, el malware, el fraude financiero y la vigilancia en un marco de ataque unificado», afirma la empresa. «Gracias al uso de métodos nativos de ofuscación, cargadores dinámicos, infraestructuras automatizadas y controles de vigilancia centralizados, esta campaña supera con creces las capacidades de los estafadores habituales».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS