Новую волну Android-атак через фейковые страницы Google Play зафиксировали в Узбекистане

Стилер маскируется под легитимные приложения для кражи денег с банковских карт.

Компания Group-IB сообщила о многочисленных атаках на пользователей Android в Узбекистане. Злоумышленники используют дроппер-приложения, распространяющиеся через поддельные веб-страницы Google Play Store, рекламу в соцсетях, фиктивные аккаунты в приложениях для знакомств и мессенджеры.

За новой атакой стоит финансово мотивированная хакерская группировка TrickyWonders, работающая по меньшей мере с 2023 года. Злоумышленники используют два семейства дроппер-малварей для сокрытия основной зашифрованной нагрузки: MidnightDat (замечена 27 августа 2025 года) и RoundRift (появилась 15 октября 2025 года).

Дропперы доставляют на устройства жертв SMS-стилер Wonderland, обеспечивающий двустороннюю связь с командным сервером (С2) злоумышленников для выполнения команд в реальном времени. Это позволяет выполнять произвольные USSD-запросы, чтобы красть сессии и SMS с устройств жертв.

Среди других возможностей Wonderland: получение телефонных номеров, кража списков контактов, скрытие push-уведомлений для подавления сигналов безопасности и отправка SMS с заражённых устройств для латерального перемещения.

Когда жертва устанавливает APK и предоставляет разрешения, злоумышленники перехватывают телефонный номер и пытаются войти в аккаунт Telegram, зарегистрированный на этот номер. Если вход успешен, процесс распространения повторяется, создавая циклическую цепочку заражения.

Вредоносные APK генерируются с помощью специального Telegram-бота, после чего распространяются категорией злоумышленников, называемых воркерами, в обмен на долю от украденных средств. Каждая сборка связана с собственными доменами командных серверов, чтобы любая попытка отключения не обрушила всю инфраструктуру. Преступное предприятие также включает владельцев групп, разработчиков и vbivers, которые валидируют украденную информацию о картах.