Se ha observado que los actores de amenazas aprovechan aplicaciones de cuentagotas maliciosas que se hacen producirse por aplicaciones legítimas para entregar un estafador de SMS de Android denominado Mundo maravilloso en ataques a dispositivos móviles dirigidos a usuarios en Uzbekistán.
“Anteriormente, los usuarios recibían APK troyanos ‘puros’ que actuaban como malware inmediatamente a posteriori de la instalación”, dijo Group-IB en un prospección publicado la semana pasada. “Ahora, los adversarios implementan cada vez más droppers disfrazados de aplicaciones legítimas. El dropper parece inofensivo en la superficie, pero contiene una carga útil maliciosa incorporada, que se implementa localmente a posteriori de la instalación, incluso sin una conexión activa a Internet”.
Wonderland (anteriormente WretchedCat), según la empresa de ciberseguridad con sede en Singapur, facilita la comunicación bidireccional de comando y control (C2) para ejecutar comandos en tiempo efectivo, lo que permite solicitudes arbitrarias de USSD y robo de SMS. Se hace producirse por Google Play o archivos de otros formatos, como vídeos, fotografías e invitaciones de boda.
El actor de amenazas con motivación financiera detrás del malware, TrickyWonders, aprovecha Telegram como plataforma principal para coordinar varios aspectos de la operación. Descubierto por primera vez en noviembre de 2023, asimismo se atribuye a dos familias de malware dropper que están diseñadas para ocultar la carga útil cifrada principal:
- MidnightDat (Pasado por primera vez el 27 de agosto de 2025)
- RoundRift (manido por primera vez el 15 de octubre de 2025)
Wonderland se propaga principalmente mediante páginas web falsas de Google Play Store, campañas publicitarias en Facebook, cuentas falsas en aplicaciones de citas y aplicaciones de transporte como Telegram, y los atacantes abusan de sesiones robadas de Telegram de usuarios uzbekos vendidas en mercados de la web oscura para distribuir archivos APK a los contactos y chats de las víctimas.
Una vez instalado el malware, obtiene comunicación a los mensajes SMS e intercepta contraseñas de un solo uso (OTP), que el clase utiliza para desviar fondos de las tarjetas bancarias de las víctimas. Otras capacidades incluyen recuperar números de teléfono, filtrar listas de contactos, ocultar notificaciones push para suprimir alertas de seguridad o contraseñas de un solo uso (OTP), e incluso mandar mensajes SMS desde dispositivos infectados para movimiento adjunto.
Sin retención, vale la pena señalar que la descarga de la aplicación primero requiere que los usuarios habiliten una configuración que permita la instalación desde fuentes desconocidas. Esto se logra mostrando una pantalla de modernización que les indica que “instalen la modernización para usar la aplicación”.
“Cuando una víctima instala el APK y proporciona los permisos, los atacantes secuestran el número de teléfono e intentan iniciar sesión en la cuenta de Telegram registrada con ese número de teléfono”, dijo Group-IB. “Si el inicio de sesión tiene éxito, el proceso de distribución se repite, creando una esclavitud de infección cíclica”.
Wonderland representa la última crecimiento del malware móvil en Uzbekistán, que ha pasado de un malware rudimentario como Ajina.Banker, que dependía de campañas de spam a gran escalera, a cepas más ofuscadas como Qwizzserial, que se encontraron disfrazadas de archivos multimedia aparentemente benignos.
El uso de aplicaciones con cuentagotas es decisivo ya que hace que parezcan inofensivas y eludan los controles de seguridad. Encima, tanto el componente cuentagotas como el estafador de SMS están muy ofuscados e incorporan trucos anti-análisis para que la ingeniería inversa sea mucho más desafiante y requiera más tiempo.
Es más, el uso de la comunicación bidireccional C2 transforma el malware de un estafador de SMS pasivo a un agente activo controlado remotamente que puede ejecutar solicitudes USSD arbitrarias emitidas por el servidor.
“La infraestructura de apoyo asimismo se ha vuelto más dinámica y resistente”, dijeron los investigadores. “Los operadores dependen de dominios que cambian rápidamente, cada uno de los cuales se utiliza sólo para un conjunto restringido de compilaciones antaño de ser reemplazado. Este enfoque complica el monitoreo, interrumpe las defensas basadas en listas negras y aumenta la duración de los canales de comando y control”.
Las compilaciones de APK maliciosas se generan utilizando un bot de Telegram dedicado, que luego es distribuido por una categoría de actores de amenazas llamados trabajadores a cambio de una parte de los fondos robados. Como parte de este esfuerzo, cada compilación está asociada con sus propios dominios C2 para que cualquier intento de asesinato no destruya toda la infraestructura de ataque.
La empresa criminal asimismo incluye propietarios de grupos, desarrolladores y vbivers, que validan la información de las tarjetas robadas. Esta estructura jerárquica refleja una nueva maduración de la operación de fraude financiero.
“La nueva ola de ampliación de malware en la región demuestra claramente que los métodos para comprometer dispositivos Android no sólo se están volviendo más sofisticados sino que están evolucionando a un ritmo rápido”, afirmó Group-IB. Los atacantes están adaptando activamente sus herramientas, implementando nuevos enfoques de distribución, ocultamiento de actividad y manteniendo el control sobre los dispositivos infectados”.
La divulgación coincide con la aparición de nuevo malware para Android, como Cellik, Frogblight y NexusRoute, que son capaces de resumir información confidencial de dispositivos comprometidos.
Cellik, que se anuncia en la web oscura por un precio auténtico de $150 por un mes o por $900 por una atrevimiento de por vida, está equipado con transmisión de pantalla en tiempo efectivo, registro de teclas, comunicación remoto a cámara/micrófono, borrado de datos, navegación web oculta, interceptación de notificaciones y superposiciones de aplicaciones para robar credenciales.
Quizás la característica más preocupante del troyano es un creador de APK con un solo clic que permite a los clientes agrupar la carga maliciosa en el interior de aplicaciones legítimas de Google Play para su distribución.
“A través de su interfaz de control, un atacante puede explorar todo el catálogo de Google Play Store y distinguir aplicaciones legítimas para incluirlas en la carga útil de Cellik”, dijo Daniel Kelley de iVerify. “Con un clic, Cellik generará un nuevo APK ladino que envuelve el RAT en el interior de la aplicación legítima elegida”.
Por otro banda, se ha descubierto que Frogblight se dirige a usuarios en Turquía a través de mensajes SMS de phishing que engañan a los destinatarios para que instalen el malware con el pretexto de ver documentos judiciales relacionados con un caso procesal en el que supuestamente están involucrados, dijo Kaspersky.
Encima de robar credenciales bancarias mediante WebViews, el malware puede resumir mensajes SMS, registros de llamadas, una registro de aplicaciones instaladas en el dispositivo e información del sistema de archivos del dispositivo. Incluso puede encargar contactos y mandar mensajes SMS arbitrarios.
Se cree que Frogblight se encuentra en ampliación activo y el actor de amenazas detrás de la utensilio está sentando las bases para su distribución bajo un maniquí de malware como servicio (MaaS). Esta evaluación se cimiento en el descubrimiento de un panel web alojado en el servidor C2 y en el hecho de que sólo las muestras que utilizan la misma secreto que el inicio de sesión del panel web pueden controlarse remotamente a través de él.
Familias de malware como Cellik y Frogblight son parte de una tendencia creciente de malware para Android, en la que incluso los atacantes con poca o ninguna experiencia técnica ahora pueden ejecutar campañas móviles a escalera con un minúsculo esfuerzo.
En las últimas semanas, los usuarios de Android en India asimismo han sido atacados por un malware denominado NexusRoute que emplea portales de phishing que se hacen producirse por los servicios del gobierno indio para redirigir a los visitantes a APK maliciosos alojados en repositorios y páginas de GitHub, mientras recopila simultáneamente su información personal y financiera.
Los sitios falsos están diseñados para infectar dispositivos Android con un troyano de comunicación remoto (RAT) totalmente ofuscado que puede robar números móviles, datos de vehículos, PIN de UPI, OTP y detalles de tarjetas, así como resumir una gran cantidad de datos abusando de los servicios de accesibilidad y solicitando a los usuarios que lo configuren como el iniciador de pantalla de inicio predeterminado.
“Los actores de amenazas utilizan cada vez más la marca estatal, los flujos de trabajo de suscripción y los portales de servicio al ciudadano como armas para implementar malware y ataques de phishing con fines financieros bajo la apariencia de licitud”, dijo CYFIRMA. “El malware realiza interceptación de SMS, creación de perfiles de SIM, robo de contactos, sumario de registros de llamadas, comunicación a archivos, captura de pantalla, activación de micrófono y seguimiento por GPS”.
Un prospección más detallado de una dirección de correo electrónico integrada “gymkhana.studio@gmail(.)com” ha vinculado NexusRoute con un ecosistema de ampliación clandestino más amplio, lo que plantea la posibilidad de que sea parte de una infraestructura de vigilancia y fraude a gran escalera mantenida profesionalmente.
“La campaña NexusRoute representa una operación de cibercrimen móvil enormemente madura y diseñada profesionalmente que combina phishing, malware, fraude financiero y vigilancia en un entorno de ataque unificado”, dijo la compañía. “El uso de ofuscación a nivel nativo, cargadores dinámicos, infraestructura automatizada y control de vigilancia centralizado coloca esta campaña mucho más allá de las capacidades de los estafadores comunes”.
