Аналитики Group-IB сообщили о появлении нового вредоносного ПО для Android под названием Wonderland. По их информации, это СМС-стилер, который распространяется через заражённые дропперы, замаскированные под легитимные приложения.
Если ранее злоумышленники рассылали APK-файлы и вынуждали пользователей устанавливать их вручную, получая тем самым доступ к устройству, то теперь применяется более скрытная схема. Как отмечают специалисты, вредоносная нагрузка встраивается в на первый взгляд безобидные программы. При этом компонент malware может быть установлен даже без подключения к интернету.
Согласно данным Group-IB, пользователь видит лишь уведомление о необходимости обновить уже установленное приложение. После такого «обновления» Wonderland получает доступ к СМС-сообщениям и одноразовым паролям. Наличие двустороннего канала связи позволяет операторам зловреда в реальном времени управлять его действиями, включая отправку USSD-команд.
Эксперты также указывают, что вредоносный код может быть спрятан внутри изображений или маскироваться под сервисы Google Play. Сразу после установки зловред начинает перехватывать OTP-коды, что открывает злоумышленникам доступ к банковским операциям жертв и позволяет похищать средства с их карт.
По оценкам Group-IB, за распространением Wonderland, вероятно, стоит группировка TrickyWonders, координирующая свои действия через Telegram. Похищенные пользовательские сессии впоследствии продаются на площадках дарквеба.
Специалисты подчёркивают, что модель распространения Wonderland напоминает хорошо организованный криминальный бизнес: роли чётко распределены между владельцами инструмента, разработчиками и распространителями. Отдельные участники занимаются проверкой банковских данных и выводом украденных средств.
