Аналитики компании Group-IB предупредили жителей Узбекистана о новом Android-зловреде Wonderland с тихой установкой. СМС-стилер распространяется через зараженные дропперы, которые выдают себя за официальные приложения.



Раньше хакеры получали нужные данные через рассылку АРК-файлов, предоставлявших доступ к девайсу после установки. Сейчас используются внешне безобидные приложения с вшитой нагрузкой. Вредоносный компонент устанавливается даже при отсутствии интернет-соединения. Пользователь при этом видит запрос на обновление имеющейся на телефоне программы.

Wonderland может красть одноразовые пароли и СМС-сообщения. За счет двусторонней связи операторы в реальном времени выполняют команды и отправляют USSD-запросы. Зловред может скрываться в фотографиях или выдавать себя за Google Play. Сразу после установки он перехватывает ОТР-коды, что позволяет красть деньги с банковских крат.

Эксперты считают, что зловред распространяет группа TrickyWonders, применяющая для координации атак Telegram. Украденные пользовательские сессии выставляются на продажу через дарквеб.

Схема распространения напоминает полноценный криминальный бизнес, у которого есть владельцы, разработчики и распространители. Проверкой банковских данных занимается специальная группа лиц.

Ранее сообщалось, что Android разрешит закрыть доступ к Wi-Fi для других пользователей устройства.